Editor Top
Táctica poco común
Curiosamente, el ransomware Global Group opera en modo totalmente silencioso, es decir, en lugar de comunicarse a través de un servidor de comando y control, realiza toda la actividad localmente en el sistema comprometido. «Esta táctica es muy poco común», dijo McElligott en un correo electrónico. «Normalmente, el ransomware moderno se basa en la comunicación de red para permitir el cifrado, la filtración de datos, tácticas de doble extorsión, sitios de filtración e infraestructura de negociación. Los datos robados se utilizan para aumentar la presión sobre las víctimas para que paguen las demandas de rescate».
El ransomware no recupera una clave de cifrado externa; en cambio, genera la clave en la propia máquina host. Como resultado, a pesar de las afirmaciones hechas en su nota de rescate, los datos no se filtran.
La extracción de datos puede ralentizar los ataques y dejar más artefactos forenses, explicó McElligott. Al centrarse únicamente en el cifrado, los ataques de ransomware se pueden implementar más rápido, afectar a más víctimas y tener menos probabilidades de ser detectados. En muchos casos, añadió, la filtración de datos no es necesaria para forzar el pago, ya que el cifrado por sí solo puede causar un tiempo de inactividad significativo.
