type: guide
title: "CERT-SG IRM-08: Blackmail"
authors: [CERT Societe Generale]
source: "https://github.com/certsocietegenerale/IRM"
reference: "Incident Response Methodology #08 - CERT SG"
tags:
  - topic/incident-response
  - topic/cti
  - method/case-study
processed: true
status: seedling

CERT-SG IRM-08: Blackmail

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle blackmail attempts.

WHO SHOULD USE IRM SHEETS?

Administrators
Security Operation Center
CISOs and deputies
CERTs (Computer Emergency Response Team)

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a intentos de chantaje/extorsion cibernetica.

Hallazgos clave

Preparacion: Identificar contactos internos (seguridad, IR, legal) y externos (fuerzas del orden); asegurar que el proceso de escalacion de incidentes este definido; tener capacidades de recopilacion de inteligencia; concienciar a empleados sobre chantaje; verificar procesos de backup y respuesta a incidentes
Identificacion: Alertar a las personas relevantes; conservar TODAS las comunicaciones (no borrar emails, anotar llamadas con numero y timestamp); investigar emails para obtener informacion (username, MX servers); verificar backup seguro de datos internos afectados; informar a la alta direccion
Contencion - Amenazas comunes: Denegacion de servicio, revelacion de datos sensibles (tarjetas de credito, datos personales), revelacion de informacion privada de empleados/VIPs, bloqueo de acceso a datos (ransomware), mass-mailing usando la marca
Contencion - Investigacion: Verificar intentos previos de chantaje; buscar si otras empresas fueron amenazadas; identificar posibles atacantes (competidores, hacktivistas, empleados actuales/anteriores); contactar fuerzas del orden; ganar tiempo pidiendo pruebas y mas plazo al atacante
Remediacion: Si se identifico una vulnerabilidad tecnica o de proceso, corregirla INMEDIATAMENTE; despues de recopilar toda la informacion posible, ignorar el chantaje; NUNCA pagar: una respuesta positiva al atacante abre la puerta a mas chantajes
Recuperacion: Notificar a la alta direccion sobre las acciones y decisiones tomadas
Lecciones aprendidas: Incluso sin presentar denuncia, notificar a fuerzas del orden ya que otras organizaciones pueden estar afectadas; informar a jerarquia y subsidiarias para posicion unica ante el atacante

Relevancia

Guia unica en la serie IRM por su enfoque no-tecnico centrado en la gestion de crisis humana y legal. La regla de oro de NUNCA pagar es consistente con las mejores practicas de la industria. La tactica de ganar tiempo pidiendo pruebas y plazos al atacante permite a los equipos de seguridad trabajar en paralelo para corregir vulnerabilidades y preparar defensas.

Citas clave

"Remember that a positive answer to the fraudster is an open door for further blackmails." (p. 7)

"Verify backup and incident response process is in place and up to date." (p. 4)

"Try to gain time and details from fraudster. Ask: Proof of what he said: example data, intrusion proof, etc. Time to get what fraudster wants (money, etc.)" (p. 6)

Conexiones

certsg-irm-04-ddos — DDoS, amenaza comun asociada a extorsion
certsg-irm-11-information-leakage — Filtracion de informacion, amenaza asociada al chantaje
certsg-irm-17-ransomware — Ransomware, forma especifica de chantaje digital
Tema principal: Themes/respuesta-incidentes-lifecycle

Themes

tema-incident-response-irm