El negocio del cibercrimen avanza sin descanso: la era del ransomware está lejos de terminar

El negocio del ransomware (por desgracia) nunca ha estado en mejor forma, y se ha diversificado en un espectro de matices que puede ser confuso de entender.  El Instituto Nacional de Ciberseguridad (INCIBE), a través de INCIBE-CERT (su Centro de Respuesta a Incidentes de Seguridad), gestionó 133.155 incidentes de ciberseguridad durante el año 2020, de los cuales el 35,22% correspondió a malware. Pero, ¿cuáles son las realidades y tendencias del mundo del ransomware en la actualidad? ¿Están todas las empresas amenazadas por igual?

Diversas familias de ransomware

Algunas familias de ransomware que han destacado por haber reaparecido en los últimos doce meses son Babuk, que en España son conocidos porque en abril de 2021 afectaron las bases de datos de Phone House; Atom Silo, con su popular ataque contra el espacio de trabajo Atlassian Confluence; y BlackMatter, especializado en ransomware as a service. Asimismo, destacan Blackbasta, detectado a mediados del pasado mes de abril, pero que ya ha causado daños a varias organizaciones: REvil, uno de los grupos más activos durante 2020-2021 y que ha vuelvo con fuerza o Emotet. Recientemente, INCIBE alertaba de un repunte de Emotet, al haber sido detectada una nueva campaña con este tipo de malware.

En general, estos programas maliciosos siguen funcionando de la misma manera básica. Los dos tipos clásicos de ransomware -los Lockers, que bloquean el funcionamiento de un ordenador; y los Cryptos, que consisten en cifrar datos y vender una clave de descifrado como pago de un rescate- no han cambiado en lo fundamental. En otras palabras, son herramientas que ya hemos visto antes. Sin embargo, se han innovado los métodos de penetración en los puestos de trabajo y los sistemas de información. Pero, ¿cómo han evolucionado estos medios de acceso, comunes a las distintas familias de ransomware?

El ransomware: una anatomía

Desgraciadamente, hay muchas vías por las que puede entrar el ransomware. No es de extrañar que el phishing sea una de las principales. Recuperando directamente las credenciales, los ciberdelincuentes pueden acceder a una VPN o a un sistema de correo electrónico. Y basta con que un solo empleado caiga en esa trampa para poner en riesgo todo el sistema de información de la empresa: y los ciberdelincuentes no tardarán en moverse lateralmente hasta hacerse con los valiosos derechos de administrador del directorio del dominio. Y más allá de los obvios perfiles de administrador, todos los empleados de una empresa son, de hecho, objetivos potenciales para los ciberdelincuentes.

Pero los puntos de entrada pueden ser a veces más sutiles (por ejemplo, basados en la ingeniería social), o más directos, a través de la explotación de vulnerabilidades de software no parcheadas.

Así, el punto de partida de las campañas de ransomware suele ser el descubrimiento de una vulnerabilidad en un software de uso común. El ejemplo de Microsoft PrintNightmare, o ProxyLogon - dos vulnerabilidades que permiten la ejecución remota de código en Windows - son una perfecta ilustración de esto. Dada la rápida publicación de kits de explotación en la darkweb, cualquier organización que no haya aplicado los parches necesarios será un blanco fácil.

Se trata de una ecuación con dos incógnitas: hay X vulnerabilidades e Y formas de explotarlas. Por un lado, los ataques "tradicionales" no dirigidos "spray and pray" siguen siendo el principal vector de ataque. Pero están cambiando: aunque siguen realizándose a través de grandes campañas mundiales de correo electrónico que se basan en un enfoque estadístico, ahora son mucho más sofisticados que hace unos años.

Hemos avanzado considerablemente desde el correo electrónico de phishing estándar que contenía errores en casi todas las palabras. La calidad es mucho mejor: por ejemplo, se pueden encontrar facturas realistas en su contexto adecuado, dirigidas a contables como si fueran un correo de un cliente. Desde 2021, los ciberdelincuentes incluso reutilizan los historiales de correo electrónico robados para reiniciar conversaciones, utilizando los asuntos y contenidos de antiguos intercambios... naturalmente, con un archivo contaminado de por medio.

Al mismo tiempo, las pequeñas y medianas empresas están siendo objeto de un doble escrutinio por parte de los ciberdelincuentes. En primer lugar, son objetivos por derecho propio, ya que son especialmente sensibles a las interrupciones de la actividad, y, por otro lado, siguen siendo utilizadas hoy en día como punto de partida para atacar a sus socios comerciales más grandes: el llamado "ataque a la cadena de suministro".

Así que la era del ransomware está lejos de terminar. Y no perdona a nadie. Desde las empresas más pequeñas hasta los grandes grupos internacionales, todo el tejido económico mundial es un objetivo potencial. Según la aseguradora especializada Cybercover, casi el 60% de las víctimas de ciberataques son pequeñas y medianas empresas. Y el último informe de Hiscox sobre gestión de riesgos cibernéticos señala que el coste medio de un ciberataque es de unos 9.000 euros para las empresas de entre 50 y 250 empleados en 2020, aunque hay grandes variaciones, ya que algunas empresas sufren pérdidas superiores a los 280.000 euros. El resultado en muchos casos es la quiebra, cuando el coste es demasiado elevado.

Afortunadamente, hay formas de protegerse. Las empresas que son conscientes del problema y realizan esfuerzos de seguridad estructurados con un enfoque de mejora continua desanimarán a los atacantes, que pasarán a otros objetivos...

Sébastien Viou, Cybersecurity Product Director de Stormshield