Todos recordamos cómo aumentaron los ataques de ransomware en 2020, al observar la aparición de varios grupos APT profesionales muy destacados: desde Maze, con sus ataques a LG, hasta el grupo de APT Lazarus, el cual agregó más víctimas a sus ataques de ransomware. Solo en Latinoamérica, en 2020 (entre enero y septiembre), detectamos 1,3 millones de intentos de ataques de ransomware, especialmente en las áreas de salud, finanzas y servicios públicos.
Aunque esta amenaza ha existido por mucho tiempo, sigue cambiando y evolucionando rápidamente. Año tras año, los atacantes son cada vez más audaces y sus metodologías se refinan. Así lo demuestran los recientes informes sobre casos de ransomware dirigidos a objetivos en todo el mundo (Colonial Pipeline, JBS, FujiFilm), incluso en América Latina (Lotería Nacional, Pemex).
Y si bien, los grupos de APT profesionales más conocidos pueden parecer entidades únicas, en realidad son sólo la punta del iceberg. Por lo tanto, con el fin de protegerse contra este tipo de actividades de ciberdelincuentes, todo el universo del ransomware puede y debe ser percibido como un ecosistema, y tratado como tal.
Síguenos en Google Noticias para mantenerte siempre informado
De hecho, en la mayoría de los ataques hay un número significativo de actores involucrados, y se suministran servicios entre sí a través de mercados de la dark web. Esto es, en realidad, una compleja cadena de suministro criminal que cuenta con muchos proveedores de “piezas” de la maquinaria del ransomware.
Por ejemplo, los botmasters y los revendedores de cuentas se encargan de proporcionar el acceso inicial a la red de la víctima. Este acceso inicial será utilizado por otros miembros de este ecosistema (el equipo “A”) con el fin de obtener un control total sobre la red objetivo. Durante este proceso, recopilarán información sobre la víctima y robarán datos internos, archivos, etc.
Estos archivos pueden ser reenviados a un equipo subcontratado de analistas que tratarán de averiguar la salud financiera real del objetivo, con el fin de establecer el precio de rescate más alto que es probable que paguen. Los analistas también se mantendrán atentos a cualquier información sensible o incriminatoria que pueda usarse para apoyar sus tácticas de chantaje, con objeto de ejercer la máxima presión sobre los responsables de la toma de decisiones de la víctima.
Cuando el equipo “A” esté listo para lanzar el ataque, comprará un producto ransomware de programadores en la dark web, por lo general a cambio de un porcentaje del rescate. Un papel opcional aquí es el de “programador empacador”, que puede añadir capas de protección al programa de ransomware y hacer que sea más difícil para los productos de seguridad detectarlo durante las pocas horas necesarias para cifrar toda una red.
Sigue la información sobre los negocios y la actualidad en Forbes México
Finalmente, las negociaciones con las víctimas pueden ser manejadas por otro equipo y cuando se pague el rescate, se necesitará un nuevo conjunto de habilidades para lavar la criptomoneda obtenida.
Un aspecto interesante de todo esto es que los diversos actores en la “cadena de valor del ransomware” no necesitan conocerse personalmente, y en realidad no lo hacen. Interactúan entre sí a través de nombres de usuarios de Internet, y pagan por los servicios con criptomoneda. De ello se deduce que la detención de cualquiera de estas entidades hace poco para ralentizar el ecosistema, ya que no se puede obtener la identidad de los coautores, por lo que otros proveedores llenarán inmediatamente el vacío.
Dado que los efectos en el mundo real de tales actividades de ransomware (por ejemplo, impacto en la disponibilidad de alimentos, suministro de gas, retraso en la atención médica crítica que puede conducir a muertes humanas) son muy evidentes, el ransomware debe atenderse sistemáticamente. Por ejemplo, cortando la circulación de dinero, lo que implica no pagar rescates en primer lugar y tomar medidas para reducir la probabilidad de un ataque y su posibilidad de éxito.
América Latina continúa practicando ciertos hábitos que hacen que la región sea especialmente susceptible a los ataques de ransomware. Dos de cada tres dispositivos en la región tienen vulnerabilidades críticas, como es el software obsoleto; además el uso de piratería de software sigue siendo elevado, y a menudo viene con funcionalidades e implantes no revelados en el producto de software sin licencia.
Sigue aquí el avance contra la pandemia en México y el mundo
Los agentes en el ecosistema del ransomware, por lo general, no determinan el objetivo y casi nunca optan por ir tras entidades específicas. Por lo tanto, los ataques de ransomware a menudo tienen un aspecto oportunista. Comprender este hecho subraya la importancia de que las empresas actualicen los servicios orientados a Internet de manera oportuna y tengan la capacidad de detectar infecciones latentes antes de que puedan ser aprovechadas para hacer daño. La aplicación de estas acciones preventivas jugará un papel clave en la prevención de una “pandemia de ransomware” en el futuro próximo.
Como siempre, alentamos a las empresas y organizaciones a adoptar mejores prácticas para protegerse contra ataques de ransomware. Entre estas están: mantener el software actualizado para evitar que los ciberdelincuentes infiltren la red explotando vulnerabilidades; vigilar el tráfico saliente para detectar las conexiones de los ciberdelincuentes; proporcionar al equipo de SOC acceso a la inteligencia de amenazas más reciente; llevar a cabo una auditoría de ciberseguridad de redes y realizar copias de seguridad de datos; habilitar la protección contra ransomware para todos los endpoints con el fin de proteger los equipos y servidores contra esta amenaza y otros tipos de malware; y, capacitar a los empleados sobre ciberseguridad.
Recuerde, si llega a ser víctima de este tipo de ataques, que nunca debe pagar el rescate, ya que no hará más que alentar a los ciberdelincuentes a continuar sus actividades, lo que a menudo resulta en que vuelvan a vulnerar su red. Hay descifradores gratuitos en línea, por ejemplo, en https://www.nomoreransom.org/es/index.html. Sin embargo, la coordinación entre las organizaciones públicas y privadas, los organismos encargados de hacer cumplir la ley y la industria de la ciberseguridad es imprescindible, por lo que es importante ponerse en contacto con la policía y buscar apoyo técnico adecuado ya que las posibilidades de recuperación son mayores cuando todas las partes trabajan en conjunto.
Contacto:
Eugene es un experto en ciberseguridad de renombre mundial y empresario. Es cofundador y Director General de Kaspersky, proveedor privado de soluciones de ciberseguridad y protección de endpoints más grande del mundo que trabaja, entre otros con la INTERPOL y Europol en temas contra el cibercrimen. *
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
