Grupos APT alineados con gobiernos despliegan cada vez más ransomware

Hubo un tiempo en que las ciberamenazas estaban claramente definidas: por un lado, los ciberdelincuentes motivados por el afán de lucro, y por otro, los actores estatales centrados en campañas de ciberespionaje o ataques geopolíticos. Sin embargo, esta frontera se ha ido desdibujando en los últimos meses, dando lugar a una nueva era de ciberamenazas en la que el ransomware se convierte en un arma tanto para la monetización como para el encubrimiento de operaciones de espionaje. Este inquietante panorama, destacado en el último Threat Report de ESET, subraya la creciente complejidad y los riesgos asociados para las organizaciones.

Ransomware y actores estatales

La evolución de las tácticas de ciberataque ha llevado a una creciente interacción entre la ciberdelincuencia y los intereses de varios gobiernos. Desde incidentes históricos, como WannaCry, a nivel mundial y NotPetya, centrado principalmente en Ucrania, hasta los recientes incidentes protagonizados por del grupo ruso Sandworm,  los estados han adoptado cada vez más el ransomware como un arma versátil para “limpiar” datos. Este fenómeno incluye:

-  Recaudación para las arcas estatales: Los ciberdelincuentes gubernamentales están utilizando deliberadamente el ransomware como una herramienta para ganar dinero para el estado. Países como Corea del Norte han utilizado grupos como Moonstone Sleet para desplegar FakePenny, un ransomware personalizado cuyo fin es robar información confidencial y generar ingresos ilícitos que financian actividades estatales. De hecho, se estima que, entre 2017 y 2023, este tipo de estrategias generó cerca de 3.000 millones de dólares en beneficios ilícitos.

-  Colaboraciones con ciberdelincuentes independientes para obtener más ganancias: Otro motivo de la implicación estatal en los ataques de ransomware es permitir que los hackers gubernamentales ganen algo de dinero con el pluriempleo. Grupos como Pioneer Kitten en Irán trabajan con actores delictivos como Ransomhouse y BlackCat, proporcionando accesos iniciales y participando en extorsiones a cambio de una parte de los pagos de rescate.

-  Encubrimiento de operaciones de ciberespionaje: Los grupos APT vinculados a Estados también están utilizando el ransomware para encubrir la verdadera intención de los ataques. Esto es lo que se cree que ha hecho ChamelGang, alineado con China, en múltiples campañas dirigidas a organizaciones de infraestructuras críticas en Asia Oriental e India, así como en Estados Unidos, Rusia, Taiwán y Japón. Utilizar el ransomware CatB de esta forma no sólo sirve para encubrir estas operaciones de ciberespionaje, sino que también permite destruir las pruebas del robo de datos.

Claves para adoptar una postura de seguridad resiliente

Este cambio de paradigma plantea nuevos retos para las organizaciones, ya que la atribución de los ataques es cada vez más compleja. Las tácticas, técnicas y procedimientos (TTP) empleados por estos grupos, a menudo similares a los de la ciberdelincuencia común, dificultan la detección temprana y la respuesta adecuada. Según estimaciones recientes, mientras que la ciberdelincuencia organizada fue responsable del 60% de las filtraciones de datos en 2023, los ataques patrocinados por estados representaron el 5%, una cifra en aumento.

Este contexto destaca la necesidad de una gestión proactiva del riesgo y de una mayor concienciación sobre la evolución de las amenazas digitales. Ante esta nueva realidad, ESET subraya la importancia de adoptar medidas preventivas y mantener una postura de seguridad resiliente. Las organizaciones deben priorizar estrategias como:

- Desarrollar programas de formación en ciberseguridad para empleados para hacer frente a la ingeniería social.

- Implementar contraseñas seguras y autenticación multifactor (MFA).

- Segmentar redes para reducir el impacto de posibles ataques.

- Utilizar herramientas avanzadas de detección y respuesta para identificar comportamientos sospechosos en una fase temprana.

- Comprobar periódicamente la eficacia de los controles, políticas y procesos de seguridad para impulsar la mejora continua.

- Invertir en inteligencia de amenazas y gestión de vulnerabilidades y parches

- Realizar copias de seguridad periódicas y proteger activos críticos con soluciones multicapa.

- Diseñar una estrategia eficaz de respuesta a incidentes y practicarla periódicamente.