El negocio del robo de datos

Un nuevo grupo de ransomware llamado BackMagic podría estar realizando ataques de robo de datos, dirigidos contra los sectores de transporte y logística Israelíes. 

Los intereses del grupo por ahora parecen dirigirse a la venta de la información robada, a través del robo de datos, en diferentes foros, no pidiendo rescate por los datos en su nota tras la infección. El objetivo en este caso de usar un ransomware para la infección parece ser inhabilitar las bases de datos de las compañías afectadas, y a la vez hacerse notar. A tal efecto, el ransomware es un vehículo como podría serlo cualquier otro para impedir el acceso a los legítimos propietarios de los datos.

El grupo asegura estar en posesión de datos sensibles del 65% de los ciudadanos israelíes. Algo que da bastante para pensar: los ataques dirigidos contra las administraciones públicas permiten la obtención de datos de ciudadanos de forma masiva, pero obviamente no son el único camino para conseguir dicho objetivo. 

Podría interesarle: Ransomware y phishing, los nuevos riesgos de ciberseguridad

El comportamiento del malware se asemeja al de otras muestras, intentando evadir su ejecución en sandbox para dificultar su detección y posterior análisis, y parando la ejecución de procesos específicos. Durante la infección el malware comunica con un servidor externo y posteriormente cifra el contenido de los discos que identifica durante el reconocimiento inicial, incluyendo ficheros ejecutables, salvo algunos específicos (requeridos por el sistema).  

Aspectos destacables 

Habitualmente se relaciona ransomware con robo de datos pero también con su rescate, la posibilidad de la víctima de negociar con el atacante una salida airosa tras la brecha de seguridad. A pesar de que siempre se recomiende no negociar con los atacantes, para muchas empresas es eso o la bancarrota. 

Este es un ejemplo de ataque que se basa en ransomware, pero cuyo objetivo no es lucrarse de forma inmediata por medio de la víctima directa, sino la venta de sus datos a terceros. De hecho, el ransomware, como se ha mencionado, es sólo un instrumento que sirve a múltiples propósitos, y algunos autores que persigan la mera destrucción podrían emplear malware más nocivo. En la mayoría de casos el ransowmare simplemente es la vía cómoda. Mientras más se conozca sobre la organización, más daño podría hacerse. 

Este ejemplo sirve para hablar de otro tipo de malware, que igual no hace tanto ruido como el ransomware porque siempre estuvo ahí, pero del que ya hay algunos artículos que se centran en su problemática. 

Stealers: malware que no destruirá pero sí permitirá el robo de datos

El robo de datos, ya sea para la obtención de credenciales o bien otra información sensible, es muy antiguo. Es un comportamiento habitual en troyanos. A finales de noviembre se publicaba un artículo hablando de plataforma empleadas por stealersmalware cuya principal función es robar información sensible. De hecho, hay familias de malware centradas en esto a las que no se presta tal vez la atención debida porque otras hacen más ruido. 

Lea también: Filtración de datos de Toyota

El artículo en cuestión sobre los stealers es muy curioso por varios motivos. Primero, porque muestra cómo haciendo uso de servicios como Shodan podemos obtener información sobre la actividad registrada de los stealers, que se dejan reconocer por el patrón de búsqueda. Veremos los patrones que se pueden emplear para obtener información de malware conocido de este tipo (como Misha Stealer o Patriot Stealer) en servicios como Shodan o URLscan. El segundo punto de interés radica en el conocimiento explícito de que este malware es parte de la cadena que permite o facilita acciones más complejas en los sistemas llevadas a cabo por los atacantes especialmente motivados.

FUENTE: Nieto, Ana. »BlackMagic ransomware y el negocio del robo de datos» Unaaldia.hispasec.com. 09/12/2022. (https://unaaldia.hispasec.com/2022/12/blackmagic-ransomware-y-el-negocio-del-robo-de-datos.html).

 

Facebook
Twitter
LinkedIn
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.