El ransomware se ha convertido en “su propia industria autosostenible”, pues funciona como las empresas tradicionales, con un modelo de negocio que implica a múltiples actores, estrategias de marketing y servicio al cliente.

En el informe Ecosistema del ransomware, difundido por Tenable Research, se desmitifica el ecosistema del ransomware explorando los actores involucrados, las técnicas y tácticas utilizadas por los operadores de ransomware y sus afiliados para infiltrarse en las organizaciones y así distribuir las cargas útiles para los atacantes. Esto es de particular interés para México, ya que en el primer trimestre de 2022 fue el país con mayor actividad de ransomware en Latinoamérica.

“Pero no se trata sólo de grupos dedicados al ransomware: tanto los afiliados como los agentes de acceso inicial (IAB) desempeñan un papel destacado en el ecosistema del ransomware, a menudo más que los propios grupos de ransomware”, aclaró Omar Alcalá, director de Ciberseguridad para México y Latinoamérica de Tenable.

En entrevista con CIO México, el directivo dijo que los propagadores son los conductores responsables de impulsar los ataques de ransomware, porque traen los leads, encuentran e infectan a las víctimas y las conducen hacia los grupos de ransomware para “cerrar el trato”. A cambio, ganan entre 70% y 90% del pago del rescate de la información secuestrada.

De acuerdo con Alcalá, mediante los llamados kits de ransomware “hágalo usted mismo”, estos afiliados están multiplicando los esfuerzos de un “negocio” en auge y los grupos de ransomware no podrían hacerlo más fácil, pues hasta ofrecen un manual con recomendaciones sobre cómo vulnerar las organizaciones.

En algunos casos, los afiliados también pueden trabajar con IABs, que son individuos o grupos que ya han obtenido acceso a las redes y venden el acceso al mejor postor. Sus tarifas oscilan, por término medio, entre los 303 dólares por el acceso al panel de control y los 9,874 dólares por el acceso al RDP, según estimaciones de Tenable Research.

Efectos del Ransomware as a Service

Una de las principales razones por las que el ransomware ha prosperado es la llegada de modelo Ransomware as a Service (RaaS), que, de acuerdo con el estudio, ha reducido significativamente la complejidad del acceso a ransomware, lo que permite a los cibercriminales que carecen de conocimientos técnicos utilizarlo en sus ataques.

El informe también señala que el dominio actual del ransomware está directamente relacionado con la aparición de una técnica conocida como “doble extorsión”. Esta táctica, iniciada por el grupo de ransomware Maze, consiste en robar datos confidenciales de las víctimas y amenazar con publicar estos archivos en sitios web donde se filtra información de este tipo, al mismo tiempo que se cifran los datos para que la víctima no pueda acceder a ellos.

Los grupos de ransomware han añadido recientemente otras técnicas de extorsión a su repertorio, incluyendo el lanzamiento de ataques DDoS, contactar a los clientes de sus víctimas u ofrecer millones de dólares a empleados para obtener el acceso, lo que dificulta el trabajo de los defensores.

Alternativas de defensa

Alcalá también hizo referencia a las tácticas defensivas citadas en el informe, que las organizaciones pueden adoptar para defenderse contra los ataques de ransomware. Entre ellas destacó:

• Utilizar la autenticación multifactor para todas las cuentas de una organización: Los grupos de ransomware compran el acceso a las organizaciones a través de los IAB que proporcionan credenciales o explotan vulnerabilidades que revelan las credenciales de inicio de sesión. Al añadir la autenticación multifactor como requisito, se añade otra capa adicional que los atacantes de ransomware tienen que superar.

• Requerir el uso de contraseñas fuertes para las cuentas: El uso de contraseñas débiles o predeterminadas facilita a los grupos de ransomware el acceso a las cuentas. Dificulta a los atacantes la entrada por fuerza bruta asegurándose de que los requisitos de las contraseñas incluyan palabras largas y sin diccionario, así como marcando las contraseñas que ya han sido expuestas como parte de una violación de datos.

• Identificar y aplicar parches a los activos vulnerables de su red en el momento oportuno: Los grupos de ransomware son expertos en aprovechar las vulnerabilidades conocidas sin parches, por lo que es importante que las organizaciones identifiquen los activos vulnerables dentro de sus redes y apliquen los parches disponibles.

Asimismo, el directivo de Tenable para México y Latinoamérica insistió en la tarea de concientizar a empleados sobre seguridad y vectores de ataque más comunes. Dijo que los ataques de ingeniería social, incluido el spearphishing a través del correo electrónico o de las redes sociales, son otra forma en que los ciberdelincuentes introducen el malware en los sistemas de su red. “La formación de mayor conciencia de los usuarios, los empleados y personal puede ayudar a orientar sobre cómo identificar los vectores de ataque más comunes utilizados por los ciberdelincuentes, lo que desempeñará un papel importante en la protección de sus redes”, concluyó el entrevistado.