Los ataques de 'ransomware' aumentan y se vuelven más híbridos y eficaces
El resurgimiento de REvil y la convergencia anticipada con los actores de compromiso de correo electrónico empresarial son algunas de las razones por las que las pandillas de ransomware siguen siendo peligrosas.
En los últimos años, el surgimiento de ataques ransomware destructivos y de gran valor impulsó al gobierno de los Estaos Unidos a tomar medidas para frenar este tipo de amenazas, sobre todo de las procedentes de Rusia. Y, al mismo tiempo el ransomware ha sido un factor crítico que hace crecer los presupuestos de ciberseguridad en las empresas. Pero, a pesar de las medidas políticas y el aumento de la financiación del sector privado, estos ataques no están disminuyendo. De hecho, tal y como se contó en la conferencia RSA de este año, las mismas acciones que se toman para anular la actividad maliciosa podrían terminar forjando alianzas entre los grupos de ciberdelincuentes para crear ataques híbridos que combinen la ingeniería social con el propio ransomware.
Irán, un innovador de este ataque
Dmitri Alperovitch, presidente ejecutivo de Policy Accelerator, señala que Irán es uno de los principales países innovadores en ransomware, con SamSam. De hecho, dice que fue un grupo iraní el que atacó a la ciudad de Atlanta y al estado de Colorado con este malware. “No solo trata de apuntar a un sistema dentro de una red para bloquearlo, sino que realmente hace una intrusión para luego distribuir ransomware en toda la red y tratar de obtener el mayor rescate posible. Una de las cosas que está haciendo es filtrar datos para hostigar a las organizaciones”.
Los ataques siguen en aumento
Sandra Joyce, vicepresidenta ejecutiva y directora de Mandiant Intelligence and Advanced Practices, cree que es engañoso pensar que los ataques de ransomware están disminuyendo, un error común tras la invasión de Rusia a Ucrania “Si miramos a los dos primeros trimestres año tras año, se ve un aumento muy marcado. Además, si no pagas, los actores de amenazas descargan tus datos”.
A veces, el ransomware no es un factor en los ataques de los cibercriminales. “Se mezcla con el robo de datos y la extorsión, y es posible que no haya necesidad de eliminar ningún malware”.
REvil regresa de entre los muertos
Pero las noticias sobre ransomware no son del todo malas, estima Alperovitch. “En enero, un mes antes de la invasión de Ucrania, los rusos tomaron medidas contra 14 personas que formaban parte de este grupo, REvil, que fue responsable de algunos de los ataques de más alto perfil del año pasado”. Pero el problema no ha sido resuelto tan rápido “La guerra ha resultado en un fallo en las comunicaciones entre los equipos cibernéticos del gobierno de los Estados Unidos y los rusos, lo cual es comprensible”. En consecuencia, el prolífico grupo de amenazas está volviendo a la vida en lo que, según Alperovitch, es un ecosistema increíblemente resisten que distribuye las responsabilidades entre muchos actores especializados dentro del grupo. “Una de las cosas que estamos viendo ahora es que REvil está comenzando a regresar. Algunos de sus sitios y redes ‘tor’ están de vuelto, por lo que tenemos que tener cuidado”.
El ataque de ransomware de Costa Rica es una advertencia
El reciente ataque de ransomware en Costa Rica le ha costado al país cientos de millones de dólares y motivó a los atacantes del grupo Conti a pedir el derrocamiento del gobierno de la nación. Matt Olsen, fiscal general adjunto de seguridad nacional del Departamento de Justicia de Estados Unidos, señaló que probablemente este no haya sido un ataque dirigido, sino que probablemente sea un caso de ransomware descontrolado.
Se podría tratar de un posible daño derivado de las operaciones del grupo ruso. “Cuando miras lo que sucedió con NotPetya, donde el ataque se centró realmente en Ucrania, se extendió rápidamente más allá de sus fronteras. Esa es la naturaleza de este tipo de amenazas, que no reconocen límites. Creo que es una advertencia en la que se ve que hay muchas razones para creer que Rusia ampliará su alcance a países y lugares utilizando grupos patrocinados”.
Los actores de ransomware y BEC podrían converger durante el próximo año
Dos de los principales ciberataques con motivos financieros, el ransomware y el compromiso de correo electrónico comercial (BEC, de sus siglas inglesas), han aumentado en paralelo durante el último lustro, aunque “están en lados completamente opuestos en términos de sofisticación”, dice Crane Hassold, director de inteligencia de amenazas en Abnormal Security. El ransomware es una especialidad altamente concentrada en ecosistema centralizado. Casi dos tercios de toda su actividad los últimos dos años podría atribuirse a solo tres grupos. “En estos momentos, más del 50% se atribuye a Conti o LockBit”.
Por otro lado, BEC se utiliza por miles de actores con poca dirección central. A pesar de estas grandes diferencias, Hassold cree que los delincuentes de ransomware gravitarán hacia BEC en el próximo año y medio porque las autoridades gubernamentales están dificultando los cobros de rescate a través de criptomonedas. “El entorno sin fricción que las transacciones de criptomonedas permitían anteriormente comenzará a desparecer, y hará que sea mucho más difícil realizar esas transacciones para fines más ilícitos”.
