El ransomware se convirtió en la palabra de moda en la comunidad de seguridad.
En una publicación pasada abordamos la primera idea preconcebida que desvirtúa la amenaza real que representa el ransomware. En esta oportunidad desmembramos otra idea premeditada, con toda la intención de desenmascarar lo que es realmente el ransomware.
Idea n.º 2: el ransomware dirigido está dirigido
La descripción anterior del ecosistema del ransomware tiene consecuencias notables con respecto a la manera en la que se seleccionan las víctimas. Sí, los grupos delincuentes se están volviendo más fuertes y piden rescates cada vez mayores. Pero los ataques de ransomware tienen un aspecto oportunista. Hasta donde sabemos, estos grupos no examinan el periódico Financial Times para decidir a quién perseguirán.
Para sorpresa, las personas que obtienen el acceso inicial a la red de la víctima no son las que implementan el ransomware después, y es útil pensar en la recopilación de accesos como un negocio completamente diferente.
Para que sea viable, los vendedores necesitan un flujo constante de “producto”. No tiene sentido, desde el punto de vista financiero, dedicar semanas intentando filtrarse en un objetivo difícil predeterminado como una de las empresas de Fortune 500, ya que no hay garantía de conseguirlo. En cambio, los vendedores de acceso persiguen las oportunidades más asequibles. Hay dos fuentes principales para tales accesos:
- Los propietarios de botnets. Las familias de malware conocidas están involucradas en las campañas más masivas y de mayor alcance. Su objetivo principal es crear redes de computadoras infectadas, pero la infección solo está inactiva en este punto. Los propietarios de botnets (creadores de bots) venden el acceso a las máquinas de la víctima a granel como un recurso que puede generar dinero de muchas maneras, como la organización de ataques de DDoS, la distribución de spam o, en el caso del ransomware, mediante el acceso no autorizado en esta infección inicial para obtener un punto de apoyo en el objetivo potencial.
- Los vendedores de acceso. Hackers que están en busca de vulnerabilidades expuestas públicamente (ataques de día 1) en software conectado a Internet, como aplicaciones VPN o puertas de enlace de correo electrónico. En cuanto se expone una vulnerabilidad, comprometen la mayor cantidad de servidores afectados que sea posible antes de que los defensores apliquen las actualizaciones correspondientes.
En ambos casos, únicamente después los atacantes retroceden un paso y descifran a quién vulneraron y si es probable que esta infección acabe en el pago de un rescate.
Los participantes del ecosistema del ransomware no realizan ataques dirigidos, ya que difícilmente eligen perseguir entidades específicas. Entender esta cuestión destaca la importancia de que las empresas actualicen sus servicios en Internet de forma oportuna y tengan la capacidad para detectar infecciones inactivas antes de que las aprovechen de forma indebida.
Fuente: