Ir al contenido principal

Ataques de Ransomware

Actualizado hace más de 2 meses

¿Qué son los Ataques de Ransomware?

Los Ataques de Ransomware son una verdadera preocupación en el mundo digital. Ocurren cuando grupos de Ransomware aprovechan vulnerabilidades para acceder a sistemas, “secuestran” archivos o datos sensibles y exigen un pago para devolverlos. Cada año, observamos un aumento en estos ataques, con nuevos grupos surgiendo y los antiguos volviéndose cada vez más activos.

¿Cómo activar el monitoreo de Ransomware?

El monitoreo de ataques de Ransomware es una parte crucial del seguimiento en la Deep & Dark Web. Incluso puedes crear un Bot para acceder a la fuente de Feed de Ransomware, agregando bibliotecas de términos específicos para mejorar tus búsquedas según tus preferencias. ¡Consulta nuestro artículo sobre Bots de búsqueda, que te ayudará en este proceso!

Recomendaciones sobre qué monitorear

  • Buscar en Explorar el nombre de un grupo que desees monitorear.

  • Realizar una consulta genérica con el filtro de plataforma igual a “Ransomware feed” para ver todos los ataques recientes.

    • Ejemplo: NOT(qwertyuiop)

  • Investigar las marcas para verificar si han sido mencionadas en algún ataque:

    • Ejemplo: axur O axur*

✨ Se recomienda agregar un * al final del nombre de la marca para obtener resultados si el grupo lista a la empresa como víctima en su sitio, como axur.com.

  • Investigar el proveedor para verificar si ya ha sido listado como víctima:

    • Ejemplo: aws* O microsoft*

✨ Se recomienda agregar un * al final del nombre del proveedor para obtener resultados si el grupo lista a la empresa como víctima en su sitio, como aws.amazon.com.

  • Configurar una alerta de anomalía con el nombre de la marca, variaciones y nombres de proveedores para recibir notificaciones si ocurre al menos 1 evento.

  • Buscar términos que puedan estar en la descripción y tengan algo en común con la empresa, como un país, región o incluso TLDs:

    • Ejemplo: brasil* O brazil* O *com.br O latam O mexico O *com.mx

  • O un segmento de mercado:

    • Ejemplo: finance

¿Qué hacen los Ataques de Ransomware?

  • Recopilan información de un indexador de víctimas y grupos de ransomware cada 5 minutos;

  • Muestran en Explorar todos los posibles ataques;

  • Permiten crear tickets manualmente a partir de estos resultados en Explorar, llevando a un tipo de ticket llamado “Ataque de Ransomware”;

  • Permiten filtrar solo las alertas de ransomware, utilizando la opción de Plataforma y seleccionando el valor “Feed de Ransomware”;

  • Permiten buscar por víctima, nombre del grupo y descripción;

  • Proporcionan el enlace de la publicación, el sitio de la víctima, el nombre del grupo, la fecha de publicación y la captura de pantalla, cuando están disponibles.

Preguntas frecuentes (FAQ)

Recibí una alerta de Ransomware, ¿qué debo hacer?

  • Si recibes una alerta de Ransomware, la acción inmediata es vital. Explorar ofrece opciones para buscar detalles específicos, como el grupo responsable, la descripción del ataque, la URL de la publicación, el sitio de la víctima y la fecha de publicación. Esto permite que las organizaciones evalúen la gravedad del ataque y actúen en consecuencia.

¿Por qué decimos que una empresa es una posible víctima?

  • Esto se debe a que todas las pruebas que tenemos son publicaciones de grupos de Ransomware en sus sitios. Esto no significa necesariamente que la empresa mencionada como víctima haya sido atacada.

¿Por qué una alerta no tiene un enlace a la publicación o una captura de pantalla? ¿Por qué la descripción no proporciona información estándar para todas las alertas?

  • Toda la información depende de cómo el grupo divulga nuevos ataques y de lo que nuestra fuente de datos puede recopilar. Por lo tanto, dependemos de la información de estas terceras partes.

¿Por qué la fecha informada en el resultado de Explorar o en el ticket no es la misma que la captura de pantalla de la publicación o del sitio del grupo?

  • Axur muestra la hora en el huso horario del usuario, mientras que la hora en el sitio del grupo generalmente es GTM.

Hay resultados detectados en agosto de 2023, pero eran ataques antiguos. ¿Es esto correcto?

  • La fecha de detección es cuando recopilamos los resultados para nuestra base de datos. Como trajimos todos los datos históricos de ataques y lanzamos la funcionalidad en agosto de 2023, la fecha de detección es correcta. Para ver la fecha real en que la empresa fue listada como víctima del ataque, haz clic para ver los detalles en el resultado.

¿Por qué se creó un ticket si ninguno de los términos buscados coincide con la víctima listada?

  • Los bots de búsqueda buscan los términos agregados en todos los campos de la alerta de ataque de Ransomware, lo que significa que la víctima no necesariamente fue uno de los términos clave. Si es un ticket irrelevante, es probable que el término se haya mencionado en el campo de descripción.

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Explorar — Búsquedas abiertas en Deep & Dark Web
Alerta de anomalía
Tipos de ticket - Deep & Dark Web
¿Cómo proceder cuando se encuentra con una detección para un ejecutivo de su empresa?
Menciones en filtraciones de datos
¿Ha quedado contestada tu pregunta?