Así funciona la economía sumergida del 'ransomware'

En los últimos meses, y sobre todo en Estados Unidos, el ransomware ha ocupado un foco mediático muy importante, lo que ha generado que los principales foros y caladeros clandestinos de ciberdelincuencia hayan prohibido ciertas actividades y transacciones que han empujado, más si cabe, a esta actividad a la clandestinidad. Este giro conlleva un grado más de dificultad para la monitorización y la investigación de los equipos de seguridad de las compañías.

En cualquier caso, este tipo de incidentes ha tornado con más virulencia que nunca. Y ya se puede afirmar que el ransomware es el foco de la economía del ciberdelito. Los grupos que coordinan los ataques están altamente profesionalizados y, en muchos aspectos, se asemejan a estructuras corporativas modernas con equipos de desarrollo, departamentos de ventas y relaciones públicas, contratistas externos y proveedores de servicios que obtienen una parte de las ganancias. Incluso, utilizan una jerga comercial en sus comunicaciones con las víctimas, refiriéndose a ellas como clientes que compran sus servicios de descifrado de datos.

Los afiliados a los grupos de ransomware suelen comprar el acceso a las redes de otros ciberdelincuentes que ya han comprometido sistemas con troyanos o botnets o mediante el robo de contraseñas. Estos terceros se conocen como agentes de acceso a la red. Además, también pueden comprar datos que contienen información de cuentas robadas o información interna que puede ayudar con el reconocimiento de objetivos. Asimismo, también suelen emplear los correos electrónicos no deseados (phishing).

De este modo, hay muchas partes implicadas en este ecosistema del ransomware y que ganan dinero, ya sea directa o indirectamente. “El cibercrimen se ha convertido en una economía en sí misma en la que hay creadores de productos, financieros o proveedores de infraestructuras, entre otros”, asegura Brandon Hoffman, CISO de Intel 471. “Es una economía como la nuestra, de libre mercado, que está construyendo un negocio para ofrecer paquetes de servicios y bienes. Aunque es difícil demostrarlo, sabemos desde hace años que los ciberdelincuentes tienen un ciclo de vida de desarrollo del software muy similar al resto de las compañías legales. Cada vez hay más paralelismos”.

Los grupos de ransomware se adaptan a las presiones del mercado

Los ataques de ransomware han paralizado muchos hospitales, colegios, servicios públicos e instituciones gubernamentales a lo largo de los años, pero el ataque a Colonial Pipeline, el sistema de oleoductos más importante de Estados Unidos, ha marcado todo un hito. La intromisión, atribuida a DarkSide, con sede en Rusia, obligó a la compañía a cerrar su sistema de gasoductos por primera vez en su historia para evitar que el ransomware se propagase a sistemas de controles críticos. El incidente recibió una amplia cobertura informativa y las preocupaciones de la Casa Blanca, que está abordando el tema junto con otras grandes compañías tecnológicas.

Incluso los operadores de DarkSide entendieron la gravedad de la situación y dijeron que querían evitar consecuencias sociales a raíz del ataque. Solo unos días después, el administrador de XSS, uno de los foros de ciberdelincuencia ruso más grandes, anunció la prohibición de todas las actividades relacionadas con el ransomware en su plataforma citando “demasiadas relaciones públicas”.

Otros grupos de atacantes de alto perfil, incluido REvil, anunciaron políticas de moderación similares para sus afiliados que prohíben ataques a instituciones sanitarias, educativas y gubernamentales. Aunque esto no fue suficiente tampoco.

Estas prohibiciones supusieron un avance significativo porque, durante muchos años, estos foros fueron el caladero principal donde los grupos reclutaban afiliados. Además, afectaron, en cierta medida, a las empresas de seguridad que monitorizan estos foros para recopilar información sobre las amenazas. Los investigadores saben que las prohibiciones de los foros no detendrían el ransomware, sino que se espera un próximo paso en esta escalada de ciberataques.

“Lo que se ha hecho es trasladar estas discusiones a otros grupos privados”, dice Ragan. “No se van a ir, sino que solamente han huido de la atención mediática”.  Ragan compara este fenómeno con el de los delincuentes tradicionales que utilizan empresas fantasma para canalizar el dinero y luego, cuando la presión aumenta demasiado, se disuelven para seguir su actividad bajo otro paraguas. Según los expertos, la vida útil de los grupos de ransomware suele ser de unos dos años porque entienden que después de ese tiempo recibirán demasiada atención, especialmente si han tenido éxito, y lo mejor es disolver el grupo y formar uno nuevo.