Adquieren relevancia nuevos jugadores dentro del ecosistema de ransomware




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

De acuerdo con la unidad de investigación de SILIKN, en 2021 se pronostica un aumento del 42.5% en los incidentes de ransomware con ataques cada vez mejor preparados y con un enfoque más profesional. Esta tendencia está obligando a las organizaciones a evaluar nuevamente sus estrategias de seguridad y a mejorar sus capacidades de mitigación y recuperación.

En términos generales, esta forma de extorsión tiene como objetivo secuestrar datos y exigir el pago de un rescate para su recuperación.

El ransomware es un problema que prácticamente se ha mantenido al alza. Desde Egregor hasta Doppelpaymer y Ryuk, continúa encabezando los encabezados de las noticias.

Las estafas de phishing alimentadas por la pandemia de COVID-19, la falta de visibilidad en los puntos finales remotos y las actitudes demasiado flexibles han facilitado las tareas de los grupos de ransomware durante 2020 y lo que va de 2021. Lo peor de todo es que el ransomware ya no discrimina. Domina las pequeñas ciudades y las oficinas municipales, los fabricantes de videojuegos y las organizaciones de salud y los sistemas escolares que ya están agobiados.

Y además, la amenaza aún podría volverse más generalizada en los próximos dos o tres años. Pero para comprender el mundo del ransomware, es importante conceptualizarlo como una economía: los atacantes implementan malware y exigen un rescate para poder llevar a cabo su modelo de negocio.

Una vez establecidas, estas operaciones, generalmente desarrolladas de forma “artesanal”, pueden actualizarse y ajustarse para satisfacer sus necesidades y las sus clientes. Como cualquier industria, el objetivo del ransomware es que se le pague. Aquí es donde entra en juego el modelo de negocio.

Los proveedores, generalmente ciberdelincuentes que venden soluciones de ransomware como servicio (RaaS), han demostrado una habilidad especial para hacer crecer su negocio. Ser un operador de ransomware no requiere necesariamente habilidades técnicas; se trata más de ser emprendedor.

Un análisis de la unidad de investigación de SILIKN señala que los grupos criminales de ransomware ganaron al menos $352 millones de dólares en 2020. Ryuk, que ha existido durante años, ha logrado mantenerse rentable porque apunta a organizaciones lo suficientemente grandes como para pagar. ¿Cuánto cuesta? Según los informes, la demanda de rescate promedio para el cuarto trimestre del año pasado fue de alrededor de $220,000 dólares.

Como indican los números, las víctimas terminan pagando generosamente, no solo el rescate en sí, sino también el tiempo de inactividad que experimentan sus organizaciones, la mala prensa y las multas reglamentarias. Como hemos visto, estos costos pueden dispararse dependiendo del escenario: NotPetya le costó al gigante de envíos Maersk más de $200 millones en 2017. A Forward Air, una compañía de camiones, un ataque reciente le costó $7.5 millones; CWT, la empresa de gestión de viajes, pagó 4,5 millones de dólares a cibercriminales tras un ataque de ransomware hace unos meses.

En este sentido , con el avance del ransomware — se han integrado o han aparecido con mayor frecuencia — , nuevos jugadores a este ecosistema.

En primer lugar, las organizaciones afectadas han pagado a empresas consultoras de ciberseguridad para determinar cómo el atacante pudo obtener acceso a la infraestructura de la organización. En este sentido, son las empresas que se especializan en análisis forense digital, a las que se ha recurrido tras un ataque de ransomware, y las cuales abordan el problema e intentan descifrar o recuperar archivos.

En segundo lugar tenemos a las empresas consultoras que dan asesoría a las empresas en temas de pagos o transferencias de rescates vía criptomonedas. No todas las organizaciones que se ven afectadas por un ataque de ransomware están familiarizadas con las demandas y métodos financieros de un atacante, como el funcionamiento del Bitcoin u otras criptomonedas. Estos consultores pueden ser contratados por organizaciones, o sus asesores legales, para negociar una reducción del dinero solicitado por los ciberdelincuentes o para manejar el proceso de pago del rescate.

En tercer lugar están las aseguradoras, quienes ofrecen cobertura para las pérdidas incurridas como resultado de una infección de ransomware, que incluye el tiempo de inactividad de las operaciones de la empresa. Dependiendo del caso, algunas aseguradoras fomentan el pago de un rescate cuando es probable que se minimicen los costos al restaurar las operaciones rápidamente. Si bien esto permite a las organizaciones víctimas obtener una clave de descifrado más rápido y detener el ataque, no resuelve el problema.

En cuarto lugar se suman los asesores legales, que son contratados para ser el “intermediario” y administrar la relación con el consultor de pagos vía criptomonedas y el proveedor de seguros. Además es el asesor legal el que trabaja en conjunto con expertos forenses y de tecnología y puede recomendar a las empresas el pago del rescate y la forma en la que deberá informar a las partes involucradas: empleados, inversionistas, clientes y reguladores de ser necesario.

En la parte superior de la cadena alimenticia, los autores reales del ransomware, están tomando medidas nuevas e interesantes para garantizar que su malware se difunda y, lo que es más importante, que reciban su parte justa.

Por lo anterior, debemos hacer énfasis en el hecho de crear conciencia entre las empresas para evitar que sean víctimas del ransomware.

El combate al ransomware funcionará en la medida en que se logre una integración tanto del entrenamiento al personal, como el uso de las más recientes tecnologías. Así que consulten a los especialistas, quienes les darán las opciones más adecuadas para solventar cualquier crisis de ciberseguridad.

Para mayor información, visite: https://www.silikn.com/