Contenido Exclusivo

Afiliados y agentes de acceso inicial (IAB), los “otros participantes del ecosistema ransomware”: Omar Alcalá, de Tenable

El ransomware se ha convertido en “su propia industria autosostenible”, pues funciona como las empresas tradicionales, con un modelo de negocio que implica a múltiples actores, estrategias de marketing y servicio al cliente.

En el informe Ecosistema del ransomware, difundido por Tenable Research, se desmitifica el ecosistema del ransomware explorando los actores involucrados, las técnicas y tácticas utilizadas por los operadores de ransomware y sus afiliados para infiltrarse en las organizaciones y así distribuir las cargas útiles para los atacantes. Esto es de particular interés para México, ya que en el primer trimestre de 2022 fue el país con mayor actividad de ransomware en Latinoamérica.

“Pero no se trata sólo de grupos dedicados al ransomware: tanto los afiliados como los agentes de acceso inicial (IAB) desempeñan un papel destacado en el ecosistema del ransomware, a menudo más que los propios grupos de ransomware”, aclaró Omar Alcalá, director de Ciberseguridad para México y Latinoamérica de Tenable.

En entrevista con CIO México, el directivo dijo que los propagadores son los conductores responsables de impulsar los ataques de ransomware, porque traen los leads, encuentran e infectan a las víctimas y las conducen hacia los grupos de ransomware para “cerrar el trato”. A cambio, ganan entre 70% y 90% del pago del rescate de la información secuestrada.

De acuerdo con Alcalá, mediante los llamados kits de ransomware “hágalo usted mismo”, estos afiliados están multiplicando los esfuerzos de un “negocio” en auge y los grupos de ransomware no podrían hacerlo más fácil, pues hasta ofrecen un manual con recomendaciones sobre cómo vulnerar las organizaciones.

En algunos casos, los afiliados también pueden trabajar con IABs, que son individuos o grupos que ya han obtenido acceso a las redes y venden el acceso al mejor postor. Sus tarifas oscilan, por término medio, entre los 303 dólares por el acceso al panel de control y los 9,874 dólares por el acceso al RDP, según estimaciones de Tenable Research.

Efectos del Ransomware as a Service

Una de las principales razones por las que el ransomware ha prosperado es la llegada de modelo Ransomware as a Service (RaaS), que, de acuerdo con el estudio, ha reducido significativamente la complejidad del acceso a ransomware, lo que permite a los cibercriminales que carecen de conocimientos técnicos utilizarlo en sus ataques.

El informe también señala que el dominio actual del ransomware está directamente relacionado con la aparición de una técnica conocida como “doble extorsión”. Esta táctica, iniciada por el grupo de ransomware Maze, consiste en robar datos confidenciales de las víctimas y amenazar con publicar estos archivos en sitios web donde se filtra información de este tipo, al mismo tiempo que se cifran los datos para que la víctima no pueda acceder a ellos.

Los grupos de ransomware han añadido recientemente otras técnicas de extorsión a su repertorio, incluyendo el lanzamiento de ataques DDoS, contactar a los clientes de sus víctimas u ofrecer millones de dólares a empleados para obtener el acceso, lo que dificulta el trabajo de los defensores.

Alternativas de defensa

Alcalá también hizo referencia a las tácticas defensivas citadas en el informe, que las organizaciones pueden adoptar para defenderse contra los ataques de ransomware. Entre ellas destacó:

  • Utilizar la autenticación multifactor para todas las cuentas de una organización: Los grupos de ransomware compran el acceso a las organizaciones a través de los IAB que proporcionan credenciales o explotan vulnerabilidades que revelan las credenciales de inicio de sesión. Al añadir la autenticación multifactor como requisito, se añade otra capa adicional que los atacantes de ransomware tienen que superar.
  • Requerir el uso de contraseñas fuertes para las cuentas: El uso de contraseñas débiles o predeterminadas facilita a los grupos de ransomware el acceso a las cuentas. Dificulta a los atacantes la entrada por fuerza bruta asegurándose de que los requisitos de las contraseñas incluyan palabras largas y sin diccionario, así como marcando las contraseñas que ya han sido expuestas como parte de una violación de datos.
  • Identificar y aplicar parches a los activos vulnerables de su red en el momento oportuno: Los grupos de ransomware son expertos en aprovechar las vulnerabilidades conocidas sin parches, por lo que es importante que las organizaciones identifiquen los activos vulnerables dentro de sus redes y apliquen los parches disponibles.

Asimismo, el directivo de Tenable para México y Latinoamérica insistió en la tarea de concientizar a empleados sobre seguridad y vectores de ataque más comunes. Dijo que los ataques de ingeniería social, incluido el spearphishing a través del correo electrónico o de las redes sociales, son otra forma en que los ciberdelincuentes introducen el malware en los sistemas de su red. “La formación de mayor conciencia de los usuarios, los empleados y personal puede ayudar a orientar sobre cómo identificar los vectores de ataque más comunes utilizados por los ciberdelincuentes, lo que desempeñará un papel importante en la protección de sus redes”, concluyó el entrevistado.

Lo Más Reciente

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Realizan el segundo Foro de Talento en Data Centers

La Asociación Mexicana de Data Centers, MEXDC, realizó el...

Newsletter

Recibe lo último en noticias e información exclusiva.

José Luis Becerra Pozas
José Luis Becerra Pozashttps://iworld.com.mx
Es Editor de CIO Ediworld México. Contáctalo en jbecerra@ediworld.com.mx o en el twitter @CIOMexico.

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...

Chivas Rayadas del Guadalajara consigue gestionar sus activos de TI de manera más eficiente

El Club Deportivo Guadalajara es uno de los más importantes en México. Con más de 500 colaboradores, requería herramientas para auditar su parque informático,...