El ransomware se convirtió en la palabra de moda en la comunidad de seguridad. Y por una buena razón. Si bien la amenaza estuvo a nuestros alrededores por un largo tiempo, esto ha cambiado. Año tras año, los atacantes se fortalecieron, las metodologías se ajustaron y, por supuesto, las víctimas sufrieron filtraciones.
Sin embargo, la mayor parte de la atención que obtiene el ransomware en los medios se enfoca en los relatos de los cuales las empresas son víctimas. En este informe, daremos un paso atrás de los ciclos nuevos de ransomware que vemos todos los días y seguiremos el camino hasta el centro del ecosistema para entender cómo se organiza.
Primero, desmentimos tres ideas preconcebidas que obstruyen la comprensión apropiada de la amenaza del ransomware. Luego, nos adentramos en la Internet oscura para demostrar cómo los ciberdelincuentes interactúan entre ellos y los tipos de servicios que brindan. Y, finalmente, concluimos con una descripción de dos marcas de ransomware de alto perfil: REvil y Babuk.
Recomendamos que, antes de comenzar a leerlo, asegúrate de que tus datos estén respaldados de manera segura.
Parte I: tres ideas preconcebidas sobre el ransomware
Idea n.º 1: las pandillas de ransomware son pandillas
Con el aumento de la caza mayor en 2020, vimos el surgimiento de varios grupos de alto perfil en el mundo del ransomware. Los delincuentes descubrieron que sería más probable que las víctimas paguen rescates si pudieran establecer algún tipo de reputación anteriormente.
A fin de garantizar que no se ponga en duda la capacidad que tienen para restaurar archivos cifrados, cultivaron una presencia en línea, escribieron comunicados de prensa y, por lo general, se aseguraron de que su nombre les resulte conocido a todas las víctimas potenciales.
Pero, gracias a que se ubicaron en el centro de atención, tales grupos ocultaron la complejidad real del ecosistema del ransomware. Desde afuera, parecen ser entidades individuales, pero en realidad son la punta del iceberg. Una cantidad importante de participantes intervienen en la mayoría de los ataques, y el aporte clave es que se suministran servicios entre ellos mediante mercados web oscuros.
Los creadores de bots y los revendedores de cuentas tienen la función de proporcionar el acceso inicial a la red de la víctima. Otros miembros de este ecosistema, a los que llamaremos el equipo rojo a los fines de este análisis, usan este acceso inicial para obtener el control completo de la red objetivo. Durante este proceso, recopilan información sobre la víctima y roban documentos internos. Es posible que tales documentos se reenvíen a un equipo tercerizado de analistas, que intentará determinar el estado financiero real del objetivo para establecer el precio de rescate más alto que pueden pagar.
Los analistas también continúan buscando cualquier información confidencial o incriminatoria que puedan usar para respaldar sus tácticas de extorsión: el objetivo es ejercer la mayor cantidad de presión en los responsables de la toma de decisiones.
Cuando el equipo rojo está listo para lanzar el ataque, adquirirá un producto de ransomware de los desarrolladores de la dark web, por lo general a cambio de un porcentaje del pago del rescate.
Un papel opcional en este punto es el del desarrollador de empaquetadores, que puede agregar capas de protección al programa de ransomware y hacerlo más difícil de detectar por parte de los productos de seguridad durante las pocas horas que necesita para cifrar la red completa.
Finalmente, las negociaciones con las víctimas pueden estar a cargo de otro equipo y, cuando se paga el rescate, se necesita un nuevo conjunto de habilidades para lavar la criptomoneda obtenida.
Un dato importante es que no es necesario que los diferentes participantes de esta “cadena de valores del ransomware” se conozcan personalmente entre sí y, de hecho, esto no sucede. Interactúan entre ellos mediante alias en Internet e intercambian servicios con criptomoneda. Por lo tanto, arrestar a alguna de estas entidades (a pesar de que resulte útil por motivos de disuasión), no sirve de mucho para frenar el ecosistema, dado que no se puede obtener la identidad de los coautores y, además, el vacío generado se ocupa de inmediato con otros proveedores.
El mundo del ransomware debe entenderse como un ecosistema y tratarse como tal: es un problema que solo puede abordarse de manera sistemática. Por ejemplo, hay que evitar que la moneda circule dentro de este, lo cual implica no pagar rescates en primer lugar.
Fuente: