Investigaciones han revelado que desde 2020 hubo una tendencia al alza en una novedosa táctica de ransomware, conocida como "doble extorsión", a través de la cual los cibercriminales añaden una etapa adicional a su ataque.
Antes de cifrar la base de datos de una víctima, consiguen extraer una gran cantidad de información confidencial para luego amenazar a la víctima con publicarla (a menos que se pague un rescate). Para demostrar que se amenaza va en serio, los ciberatacantes filtran una pequeña parte de la información sensible a la darkweb para aumentar así el nivel de intimidación si no se paga el rescate.
El primer caso que fue publicado de esta "doble extorsión" tuvo lugar en noviembre de 2019 e involucraba a Allied Universal, una gran compañía americana dedicada a temas de personal de seguridad.
Cuando las víctimas se negaron a pagar el rescate que pedían de 300 Bitcoins (aproximadamente 2,3 millones de dólares), los cibercriminales, valiéndose del malware "Maze", amenazaron con utilizar la información confidencial, los certificados de correo electrónico y de los nombres de dominio robados para elaborar una campaña de spam suplantando la identidad de la compañía.
También publicaron una muestra de los archivos robados que incluía contratos, registros médicos, certificados de encriptación, etc.
Desde entonces, Maze ha publicado los detalles de docenas de empresas, estudios de abogados, proveedores de servicios médicos y compañías de seguros que no han cedido a sus demandas, pero se estima que muchas empresas evitaron la publicación de sus datos sensibles pagando el rescate exigido.
La doble extorsión es tendencia al alza entre los ataques ransomware. Al filtrar información sensible a la dark web como muestra de que su amenaza va en serio, ejercen mucha más presión sobre sus víctimas. Por su parte el ransomware de triple extorsión ejecuta una vuelta de tuerca más a esta modalidad, e implica la sustracción de datos, la exigencia de un rescate económica a la empresa afectada y, además, el chantaje a los clientes.
Una de las primeras afectadas por la triple extorsión fue la clínica Vastaamo, en octubre de 2020. Esta clínica finlandesa, con unos 40.000 pacientes, a causa de una brecha de seguridad, sufrió el robo de la información de todas sus bases de datos. Tras el ataque, se exigió el pertinente rescate a la empresa, pero, además, también se solicitaban sumas económicas a los pacientes, que recibieron las peticiones de rescate individualmente por correo electrónico.
En esos correos, los ciberdelincuentes amenazaban con publicar el contenido de las sesiones con sus terapeutas, detalles de sus tratamientos y afecciones.
A mayor escala, en febrero de 2021 el grupo de ransomware REvil anunció que había añadido dos etapas a su doble esquema de extorsión: ataques DDoS -un ataque DDoS envía multitud de solicitudes al recurso web atacado, con la intención de desbordar la capacidad de respuesta de este y provocar su caída- y llamadas telefónicas a los socios comerciales de la víctima y a los medios de comunicación.
En estos ataques, los colaboradores externos y los proveedores de servicios se ven afectados y perjudicados por las fugas de datos causadas por esta nueva amenaza, incluso si sus recursos de red no son el objetivo directo.