Doxware, el primo de Ransonware-SeaCCNA al Día

Como si el ransomware no fuera lo suficientemente malo, hay un nuevo giro llamado doxware. El término doxware es una combinación de doxing (publicar en línea información personal hackeada), y ransomware.

Los atacantes les notifican a las víctimas que sus archivos sensibles, confidenciales o personales serán publicados en la web. Si las listas de contactos también fueron robadas, los autores pueden amenazar con divulgar la información a los integrantes de las mismas o enviarles los enlaces del contenido.

Doxware
Doxware

Doxware y ransomware comparten algunas similitudes. Ambos cifran los archivos de la víctima, incluyen una demanda de pago y sus ataques son altamente automatizados. Sin embargo, en un ataque ransomware los archivos no son quitados del objetivo, cifrar los archivos es suficiente. Un ataque doxware no tiene sentido a menos que los archivos sean subidos al sistema del atacante.

Subir todos los archivos de la víctima es engorroso, así que los ataques doxware tienden a ser más enfocados, dando prioridad a los archivos que incluyen palabras de activación, como confidencial, comunicación privilegiada, sensible o privado.

Dejando a un lado las deficiencias, los analistas de seguridad están de acuerdo en que los ataques doxware aumentarán probablemente en los próximos dos años. Hasta ahora han sido dirigidos a empresas y personas de alto perfil, en lugar del público en general. Sin embargo, eso podría cambiar si los criminales encuentran formas de apuntar hacia los teléfonos inteligentes o dispositivos IoT.

En uno de los primeros ataques doxware, Ransoc informó a sus víctimas que había archivos en su computadora que violaban derechos de propiedad intelectual o que contenían pornografía infantil. A menos que la víctima remitiera un pago las autoridades serían notificadas y la persona afectada encarcelada. Con acceso a más dispositivos, los criminales podrían refinar los ataques doxware para dirigirse a los individuos en una escala masiva.

Protección contra ataques doxware

Las empresas que sufren un ataque sienten a menudo que no hay otra alternativa que pagar el rescate. Sin embargo, incluso hacer el pago no siempre termina con el peligro. Si los atacantes encuentran que la información es particularmente valiosa o embarazosa pueden hacer demandas adicionales. Además no hay garantías de que los delincuentes no publiquen los archivos incluso después de que una empresa cumpla con todas las demandas de pago.

Los datos robados siguen como una amenaza permanente, pues las víctimas no pueden confirmar que los archivos robados han sido borrados. Por lo tanto, prevenir es la mejor forma de lidiar con un ataque.

Los siguientes consejos pueden ayudar a protegerte contra los doxware:

a)La mayoría de los ataques comienzan con una suplantación de identidad. Debes enseñar a los usuarios a manejar estos intentos, como no abrir archivos adjuntos y enlaces de correos electrónicos de fuentes desconocidas.

b) No almacenes datos confidenciales en un disco duro. Si no puedes, trata de organizar los datos en varios servidores.

c) Cifra archivos mientras están en reposo, especialmente los confidenciales.

d) Mantén actualizado el software anti-malware, pues nuevas amenazas surgen constantemente.

e) Educa a los usuarios sobre la publicidad maliciosa y los tipos de sitios que son las fuentes comunes de anuncios infectados con malware. Estos incluyen páginas web para adultos, Facebook, Skype y portales “piratas” que albergan copias ilegales de películas y programas de televisión.

Aunque una copia de seguridad externa no impide un ataque doxware, es importante tenerla. Si el delincuente proporciona laclave de descifrado después de que se haya pagado el rescate, no hay garantía de que los archivos descifrados no se hayan dañado irremediablemente.

Los ataques doxware son mucho menos comunes que los ataques tradicionales de ransomware, pero, todos los profesionales en seguridad saben que si los criminales tienen la oportunidad de obtener una ganancia fácil aprovecharán la oportunidad. Como mencionó una vez Mr. Robot, estamos en guerra. El doxware es simplemente otra arma insidiosa en el arsenal de un cibercriminal.

Si le preocupan los ataques avanzados de malware, considera la posibilidad de crear un plan de respuesta a incidentes y automatizar las operaciones de seguridad. La automatización y la colaboración pueden ayudar a reducir las actividades ad hoc y a agilizar las operaciones durante la crisis. Además, el uso de la automatización puede ayudar a reducir el MTTR y el tiempo de exposición.

Defectos de doxware

1) Los ataques tienden a involucrar cantidades relativamente pequeñas de datos. La mayoría de los atacantes no tienen los recursos para almacenar millones de archivos, además el acto de cargar un volumen masivo de archivos aumenta el riesgo de detección.

2) Los criminales quieren maximizar el retorno de la inversión, porque los ataques son costosos. Para que el mismo sea financieramente gratificante los atacantes deben investigar a las posibles víctimas para determinar si los datos robados serán suficientes. También deben contar con un plan para publicar los datos si la víctima elije no pagar.

3)Los criminales enfrentan, potencialmente, mayores riesgos con los ataques doxware. Los atacantes necesitan cierta infraestructura para alojar los archivos robados y para liberarlos en línea. Esta infraestructura podría facilitar su localización.

revistaitnow