Todos recordamos cómo aumentaron los ataques de ransomware en 2020, ya que observamos la aparición de varios grupos APT profesionales muy destacados: desde Maze, con sus ataques a LG, hasta el grupo APT Lazarus, que sumó más víctimas a sus ataques de ransomware. Solo en América Latina, en 2020 (entre enero y septiembre), detectamos 1.3 millones de intentos de ataques de ransomware, especialmente en las áreas de salud, finanzas y servicios públicos.
Aunque esta amenaza existe desde hace mucho tiempo, continúa cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se refinan. Así lo demuestran los informes recientes de casos de ransomware dirigidos en todo el mundo (Colonial Pipeline, JBS, FujiFilm), incluso en América Latina (Lotería Nacional, Pemex).
Y aunque los grupos APT profesionales más conocidos pueden parecer entidades únicas, en realidad son solo la punta del iceberg. Por lo tanto, para protegerse contra este tipo de actividades delictivas cibernéticas, todo el universo del ransomware puede y debe ser percibido como un ecosistema y tratado como tal.
De hecho, en la mayoría de los ataques hay una cantidad significativa de actores involucrados y se brindan servicios entre sí a través de los mercados de la web oscura. En efecto, se trata de una compleja cadena de suministro delictiva que tiene muchos proveedores de «piezas» de la maquinaria del ransomware.
Por ejemplo, los revendedores de cuentas y los botmasters son responsables de proporcionar acceso inicial a la red de la víctima. Este acceso inicial será utilizado por otros miembros de este ecosistema (el equipo «A») para obtener un control total sobre la red de destino. Durante este proceso, recopilarán información sobre la víctima y robarán datos internos, archivos, etc.
Estos archivos se pueden reenviar a un equipo de analistas subcontratados que tratarán de averiguar la salud financiera real del objetivo para establecer el precio de rescate más alto que probablemente pagarán. Los analistas también estarán atentos a cualquier información sensible o incriminatoria que pueda usarse para respaldar sus tácticas de chantaje, con el fin de ejercer la máxima presión sobre los tomadores de decisiones de la víctima.
Cuando el Equipo «A» esté listo para lanzar el ataque, comprará un producto de ransomware de los programadores en la web oscura, generalmente a cambio de un porcentaje del rescate. Una función opcional aquí es la de «programador empaquetador», que puede agregar capas de protección al programa de ransomware y hacer que sea más difícil para los productos de seguridad detectarlo durante las pocas horas que lleva cifrar una red completa.
Finalmente, las negociaciones con las víctimas pueden ser manejadas por otro equipo y cuando se pague el rescate, se necesitará un nuevo conjunto de habilidades para lavar la criptomoneda obtenida.
Un aspecto interesante de todo esto es que los distintos actores de la «cadena de valor del ransomware» no necesitan conocerse personalmente, y no es necesario. Interactúan entre sí a través de nombres de usuario de Internet y pagan los servicios con criptomonedas. De ello se deduce que detener a cualquiera de estas entidades hace poco por ralentizar el ecosistema, ya que no se puede obtener la identidad de los coautores, por lo que otros proveedores llenarán el vacío de inmediato.
Dado que los efectos en el mundo real de tales actividades de ransomware (por ejemplo, el impacto en la disponibilidad de alimentos, el suministro de gas, el retraso en la atención médica crítica que puede provocar la muerte de personas) son muy evidentes, el ransomware debe abordarse sistemáticamente. . Por ejemplo, cortando la circulación de dinero, lo que significa no pagar rescates en primer lugar y tomar medidas para reducir la probabilidad de un ataque y sus posibilidades de éxito.
América Latina continúa practicando ciertos hábitos que hacen que la región sea especialmente susceptible a los ataques de ransomware. Dos de cada tres dispositivos en la región tienen vulnerabilidades críticas, como software desactualizado; Además, el uso de la piratería de software sigue siendo alto, a menudo con características no reveladas e implantes en el producto de software sin licencia.