La exfiltración de datos es fundamental en los ciberataques de doble extorsión, que se han convertido en el nuevo estándar de oro de los ataques de ransomware. En un nuevo informe, ReliaQuest descubrió que Rclone, WinSCP y Client URL (cURL) fueron las tres principales herramientas de exfiltración de datos utilizadas por los actores de amenazas entre septiembre de 2023 y julio de 2024. La exfiltración de datos, la transferencia o recuperación no autorizada de datos de dispositivos empresariales o personales, puede incluir la infraestructura propiedad del actor de amenazas o servicios en la nube de terceros. Para ello, los actores de amenazas suelen utilizar herramientas legítimas o personalizadas que les permiten recopilar y extraer una gran cantidad de datos y luego amenazan a su víctima con filtrar los datos si se niega a pagar el rescate. Según ReliaQuest, la mayoría de los grupos de ransomware de alto perfil, como LockBit, Black Basta y BlackSuit, prefieren el uso de las tres herramientas principales mencionadas anteriormente. Otros, como Inc Ransom, prefieren utilizar herramientas más atípicas, como herramientas legítimas de gestión de archivos y software de monitorización y gestión remotas (RMM). Principales herramientas de exfiltración de datos Rclone Rclone es una utilidad de línea de comandos legítima de código abierto que permite a los usuarios sincronizar archivos con varios proveedores de almacenamiento en la nube e infraestructura establecida, como servidores de protocolo de transferencia de archivos (FTP). También es la herramienta de exfiltración más popular utilizada por los actores de amenazas, con el 57% de los incidentes de ransomware que involucraron la herramienta durante el período informado. El atractivo de Rclone proviene de sus rápidas capacidades de transferencia de datos y versatilidad. Por ejemplo, Rclone puede integrarse con numerosos servicios en la nube, incluidos Google Drive, Amazon S3 y Mega, junto con protocolos como FTP, lo que complica las estrategias de mitigación para los defensores. Rclone también se ejecuta en Windows, Linux y macOS, y puede automatizar fácilmente las operaciones, lo que lo hace muy eficiente para grandes transferencias de datos. «Su legitimidad como herramienta de respaldo utilizada por profesionales de TI ayuda a los actores de amenazas a evitar la detección o dar la alarma», agregó ReliaQuest en su informe. WinSCP WinSCP es una utilidad de transferencia de archivos de código abierto para Windows que ofrece funcionalidades similares a Rclone, pero se distingue por su interfaz fácil de usar. Mientras que WinSCP se centra en las transferencias desde ubicaciones locales a remotas, Rclone es una herramienta de línea de comandos diseñada para administrar archivos en varios servicios de almacenamiento en la nube. WinSCP se usa ampliamente dentro de las organizaciones y es una herramienta confiable y legítima, que reduce las sospechas cuando se encuentra en un punto final. Su portabilidad y capacidades de scripting facilitan transferencias de datos eficientes, ya sean automatizadas o manuales. Además, las funciones efectivas de registro y manejo de errores de WinSCP garantizan la exfiltración exitosa de datos específicos. cURL Client URL (cURL) es una herramienta de línea de comandos que se usa para transferir datos especificando el destino a través de una URL. Admite protocolos como HTTPS, FTP y SFTP y se usa comúnmente para tareas como descargar o cargar datos e interactuar con servicios web. Es multiplataforma y está disponible en Windows, macOS y Linux. «cURL también es nativo de Windows 10 versión 1803 y posteriores, lo que significa que los actores de amenazas no necesitan ingresar cURL en un entorno de destino, lo que les permite ‘vivir de la tierra'», agregó ReliaQuest. En comparación con Rclone y WinSCP, cURL no es tan confiable para operaciones de exfiltración de datos a gran escala. Sin embargo, puede servir como una herramienta muy eficaz para exfiltrar información crítica sobre una organización objetivo. En mayo de 2024, ReliaQuest observó que el grupo de ransomware Black Basta aprovechaba cURL junto con el dominio de almacenamiento en la nube temporal[.]sh para exfiltrar con éxito datos confidenciales de una organización. Otras herramientas de exfiltración de datos Además de estas tres herramientas, los actores de amenazas utilizan una variedad de herramientas diferentes para exfiltrar datos. Estas incluyen herramientas de almacenamiento y transferencia de archivos (MEGA Cloud Storage, FileZilla), programas de respaldo (Restic) y software de monitoreo y administración remotos (RMM). «Es importante considerar también las herramientas capaces de exfiltrar pequeñas cantidades de datos y la amenaza persistente de las herramientas de exfiltración personalizadas», concluyeron los investigadores de ReliaQuest. Leer más: Se advierte a las instalaciones químicas sobre una posible exfiltración de datos luego de una violación de la CISA