Así opera el ecosistema del ransomware

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar  7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Los ataques de ransomware se han disparado en todo el mundo https://www.itdigitalsecurity.es/actualidad/2021/04/los-ataques-de-ransomware-se-disparan-en-todo-el-mundo, y el coste de recuperación tras sufrirlos se multiplicado por más de dos en un año. https://www.itdigitalsecurity.es/endpoint/2021/04/el-coste-de-recuperacion-de-un-ataque-de-ransomware-alcanza-los-185-millones

Por eso, no es de extrañar que especialistas en ciberseguridad y fuerzas de seguridad dediquen más esfuerzos a investigar cómo actúan los autores de este tipo de ataques, con el objetivo de que las empresas entiendan esta ciberamenaza y puedan adoptar contramedidas. El último de estos trabajos lo ha realizado Kasperky, cuyos expertos han analizado los foros de la dark web e investigado a los grupos REvil y Babuk.

A raíz de la investigación, aunque insisten en que el ecosistema del ransomware con diferentes actores es complejo, han podido desmontar algunos mitos. Por ejemplo, frente a la creencia de que los grupos de ransomware son en realidad bandas (grupos cerrados, que han pasado por todo juntos, al estilo de El Padrino), la realidad es más parecida al mundo de "Los caballeros" de Guy Ritchie, con un número significativo de actores diferentes (desarrolladores, botmasters, vendedores de acceso, operadores de ransomware) implicados en la mayoría de los ataques, que se suministran servicios entre sí a través de los mercados de la dark web.

Los diferentes agentes se reúnen en foros especializados de la darknet en los que se pueden encontrar anuncios actualizados regularmente ofreciendo servicios y acuerdos de colaboración. Los grandes actores que operan por su cuenta no frecuentan este tipo de sitios, pero Kaspersky ha descubierto que grupos conocidos como REvil, que ha incrementado sus ataques a organizaciones en los últimos trimestres, publican sus ofertas y novedades de forma regular utilizando programas de afiliados. Este tipo de participación supone una asociación entre el operador del grupo de ransomware y el afiliado. En ella el operador del ransomware se lleva una parte de los beneficios - entre el 20 y el 40%- mientras que el 60-80% restante es para el afiliado.

“La selección de estos socios es un proceso muy cuidado que atiende a reglas básicas establecidas por los operadores de ransomware desde el principio, incluyendo restricciones geográficas e incluso opiniones políticas. Al mismo tiempo, las víctimas del ransomware se seleccionan según la oportunidad”, añade la firma de seguridad.

Dado que los agentes que infectan a las organizaciones y los que operan el ransomware son grupos diferentes, cuyo único objetivo es obtener beneficios, las más infectadas suelen ser aquellas a las que resulta más fácil atacar, “esencialmente, aquellas empresas u organismos a las que los atacantes pudieron acceder más fácilmente”, dice Kaspersky.

Puede tratarse tanto de actores que trabajan dentro de los programas de afiliación como de operadores independientes que luego venden el acceso, en forma de subasta o mediante un acuerdo, a partir de tan solo 50 dólares. La mayoría de las veces estos atacantes son propietarios de botnets que trabajan en campañas masivas y de gran alcance y venden el acceso a las máquinas de las víctimas al por mayor, o vendedores de acceso a la búsqueda de vulnerabilidades públicamente divulgadas en el software de Internet, como los dispositivos VPN o las pasarelas de correo electrónico, que pueden utilizar para infiltrarse en las organizaciones.

En estos foros también hay otros tipos de ofertas. Algunos operadores venden muestras de malware y creadores de ransomware por precios que oscilan entre 300 y 4.000 dólares, mientras que otros ofrecen Ransomware-as-a-Service, es decir, la venta de ransomware con el apoyo continuado de sus desarrolladores, en paquetes cuyo precio oscila entre 120 dólares al mes y 1.900 dólares al año.

Como explica Dmitry Galov, investigador de seguridad del Equipo de Investigación y Análisis Global de la compañía de seguridad, "el ecosistema del ransomware es complejo y con muchos intereses en juego. Es un mercado fluido con muchos actores, algunos bastante oportunistas, otros muy profesionales y avanzados. No eligen objetivos concretos, pueden ir a por cualquier organización, ya sea una empresa o un pequeño negocio, siempre que puedan acceder a ellos. Además, su negocio está floreciendo, no va a desaparecer pronto".

Hay una serie de medidas de seguridad bastante simples que son muy efectivas para protegerse del ransomware, que el proveedor enumera:

-- Mantener siempre actualizado el software en todos los dispositivos utilizados, para evitar que los atacantes se infiltren en la red aprovechando las vulnerabilidades.

-- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Establecer copias de seguridad offline que los intrusos no puedan manipular. Asegurarse de poder acceder a ellas rápidamente en caso de emergencia cuando sea necesario.

-- Activar la protección contra el ransomware en todos los endpoints.

-- Instalar soluciones anti-APT y EDR, que permiten capacidades de descubrimiento y detección de amenazas avanzadas, investigación y reparación oportuna de incidentes. Proporcionar al equipo SOC acceso a la última información sobre amenazas y actualizarlo regularmente con formación profesional.