Ransomware por suscripción: así se profesionalizó esta millonaria 'industria'
Pensar el cibercriminal como una sola persona que opera en un oscuro sótano no va más, ya que se trata de grupos tan bien organizados como lo puede ser una startup de Silicon Valley.

Expertos en ciberseguridad suelen hablar de tres tipos de empresas e instituciones: las ya fueron atacadas, las que serán atacadas por primera vez y las que volverán a ser atacadas. Esto demuestra que el cibercrimen es un negocio que suma por millones de dólares y que las compañías siguen siendo altamente vulnerables a los ciberataques. Muchas de ellas no tienen una estrategia preventiva de ciberseguridad o no dedican el presupuesto suficiente a esta área.

De visita en la Ciudad de México, el pasado 31 de agosto Theresa Payton, la primera mujer CIO de la Casa Blanca de Estados Unidos, advirtió que “nunca había sido más fácil y más barato ciberatacar a alguien que ahora”. En esa ocasión también dijo que México figuraba en el top ten mundial de los países con más ciberataques y predijo que las ciudades inteligentes con redes 5G podrían empezar a ser atacadas con ransomware.

Un informe de Tenable Research al que Forbes tuvo acceso cita una revelación de Joel DeCapua, un agente especial de supervisión del Buró Federal de Investigaciones (FBI): los grupos que utilizan el ransomware habían obtenido más de US$144 millones de 2013 a 2019, una cifra que  en ese momento se consideraba impresionante, pero solo en 2020 habrían obtenido US$692 millones, casi cinco veces más con respecto a los 6 años anteriores.

Por si fuera poco, hoy ya no hace falta ser un experimentado hacker para propagar un malware en una compañía o institución pública, ahora se puede acceder a este servicio bajo suscripción (Ransomware as a Service). Así, el ransomware o secuestro de datos sensibles se ha convertido en una industria multimillonaria con la capacidad organizacional de las startups de Silicon Valley, que es temida por las organizaciones empresariales e instituciones públicas.

 

Operan como startups


La industria del ransomware se ha profesionalizado. Un informe de Tanable revela cómo la ciberdelincuencia identificó un problema, proveyó una solución y generó un mercado con ingresos millonarios, como lo hicieran las startups más exitosas de Silicon Valley. En el otro extremo están las compañías que no evolucionan al mismo ritmo que los ciberdelincuentes, pese a que un ciberataque puede generar un daño no solo económico, sino reputacional irreversible.

 

Carlos Ortiz, director general de Tenable México, dice en entrevista con Forbes que las compañías que piensan que no serán atacadas caen en un error, pues lo común ahora es preguntarse 'cuándo me puede ocurrir un ciberataque'. “Alguien ahora mismo puede estar pensando en atacar a tu empresa y tiene la posibilidad de hacerlo porque el ransomware es una industria, es un servicio que se vende”.

“Cuando hablamos de ransomware solemos pensar en las personas que se dedican a crear ciertos malwares. Esa idea es equivocada, hoy es una industria bien organizada que utiliza publicidad y marketing para reclutar a sus afiliados, que los tienen adentro de las empresas para que les puedan proporcionar información como claves de acceso o puntos clave de almacenamiento de información”, cuenta Ortiz.

De hecho, la industria del ransomware ya no opera de forma aleatoria. Los grupos de ciberdelincuentes dedicados a la propagación de malwares en las empresas para secuestrar información sensible y luego pedir un rescate por ella hacen investigaciones de mercado para identificar a aquellas empresas más vulnerables, que son más fáciles de atacar con menor riesgo de exposición. “Es increíble que estén vendiendo un servicio para secuestrar a una empresa”.

“Estamos hablando de una cadena alimenticia importante, desde el que recluta, las personas que muchas veces están dentro de la empresa y están los propagadores o afiliados y después los grupos de amenazas persistentes que están formados por personas que atacan a organizaciones y gobiernos, ahí nos damos cuenta de que a cualquiera le puede tocar”, subraya el director de Tenable México en entrevista.
 

Una caja de Pandora


Satnam Narang, ingeniero de investigación senior de Tenable, señaló que “el ransomware se ha convertido en su propia industria autosostenible, que funciona como las empresas tradicionales, con un increíble modelo de negocio que implica a múltiples actores, estrategias de marketing y servicio al cliente”. Y una nueva táctica en la industria del RaaS ha abierto la caja de pandora en esta naciente industria millonaria dentro del cibercrimen.

 

La investigación de Tenable descubrió que el dominio actual del ransomware está directamente relacionado con la aparición de una técnica conocida como doble extorsión, iniciada por el grupo de ransomware Maze, que consiste en robar datos confidenciales de las víctimas y amenazar con publicar estos archivos en sitios web donde se filtra información de este tipo, al mismo tiempo que cifran los datos para que la víctima no pueda acceder a ellos.

Los grupos de ransomware han añadido recientemente otras técnicas de extorsión a su repertorio, incluyendo el lanzamiento de ataques DDoS, contactar a los clientes de sus víctimas u ofrecer millones a empleados para obtener el acceso a los datos sensibles de las compañías y sus directivos, lo que dificulta el trabajo de los defensores. Estas tácticas forman parte del arsenal de las bandas de ransomware como forma de ejercer una presión adicional.

“Con RaaS y la doble extorsión, se ha abierto la caja de pandora, y los atacantes están encontrando agujeros en nuestras defensas actuales y sacando provecho de ellos”, añadió Satnam Narang. Y el provecho que obtienen estos cibercriminales será mayor en la medida en que perfeccionan su industria y las empresas no se ocupan de su estrategia de ciberseguridad, ya que no se trata de hackers aislados, sino de grupos bien organizados con múltiples actores.

Por ejemplo, los propagadores son los conductores responsables de impulsar los ataques de ransomware: traen los leads, encuentran e infectan a las víctimas y las traen a los grupos de ransomware para cerrar el rescate de la información secuestrada.  A cambio, ganan entre 70 % y 90 % del pago del ransomware.

 

Los afiliados están multiplicando los esfuerzos de un negocio en auge y los grupos de ransomware no podrían hacerlo más fácil: hasta ofrecen un manual con recomendaciones sobre cómo vulnerar las organizaciones. En algunos casos, los afiliados también pueden trabajar con individuos o grupos que ya han obtenido acceso a las redes y venden el acceso al mejor postor. Sus tarifas oscilan, por término medio, entre los US$303 por el acceso al panel de control y los US$9.874 por el acceso al RDP.
 

Anatomía de un ciberataque

En el primer nivel del ataque el objetivo inicial de los delincuentes es conseguir una forma de acceso al sistema, para ello muchas veces recurren a información disponible en páginas web o redes sociales para conocer el organigrama de la organización objetivo e identificar a quién dirigir el ataque. El intento de acceso inicial se puede dejar ver a través de un phishing, se puede manifestar en una llamada telefónica o correo electrónico, explica Juan Marino, gerente de Ciberseguridad de Cisco para América Latina.

En caso de que el usuario no se dé cuenta de que la seguridad fue comprometida, el siguiente paso es conocido como Establish foothold (establecer punto de apoyo), que consiste en mantenerse en ese sistema y desde ahí descubrir a qué otros dispositivos, credenciales o redes se puede ingresar, que es la fase conocida como Network discovery (descubrir la red).

Si con el pasar de las horas o días, ni el usuario o el equipo de sistemas detectan la amenaza, el ataque pasa al segundo nivel de la cadena con la finalidad de reconocer los recursos que son verdaderamente importantes (Key asset discovery); “pueden ser los datos de los clientes, la propiedad intelectual del código de software o la propia red, que si los atacantes hacen su análisis, seguro van a querer conseguir esa información”.

 

Posteriormente se procede al robo de datos (Data exfiltration) y a la propagación dentro de la misma red (Network propagation). En el tercer y último nivel, el atacante se prepara para hacer el despliegue del software malicioso o ransomware (un tipo de malware), que una vez instalado puede mantenerse inactivo en el sistema hasta que el atacante decida ejecutarlo para proceder al acoso de la víctima y/o extorsión.

Todos estos pasos se realizan en un promedio de nueve días, de acuerdo a un estudio reciente entre múltiples brechas reales que adquirieron carácter público, siendo el segundo nivel el de mayor complejidad y al que mayor tiempo dedican los delincuentes.

Juan Marino aseguró que cada vez son más frecuentes los ataques dirigidos hacia objetivos que los actores maliciosos consideran de alto valor por el dinero que puedan recibir a cambio. En algunos casos, en los que no se pide el pago de un rescate, la información extraída de la organización termina a la venta en el mercado ilegal; también llega a haber situaciones en los que se presenta una doble extorsión, donde los delincuentes hacen una exfiltración de datos y además inhabilitan el acceso al sistema.


Industria con un futuro brillante

En la industria de la ciberseguridad se dice que con un mundo cada vez más digitalizado crece la superficie atacable por los ciberdelincuentes, por lo que el cibercrimen seguirá siendo un negocio millonario y atractivo. De acuerdo con el Informe de Riesgos Globales 2022, elaborado por el Foro Económico Mundial, las fallas en ciberseguridad y la desigualdad digital se encuentran entre las 10 amenazas más críticas que enfrentará la humanidad en los próximos 2 años. De hecho, se estima que para el año 2030 habrá un intento de ataque malicioso cada dos minutos.

 

Cada año aparecen 20.000 vulnerabilidades nuevas de las que hay que ocuparse de alguna manera, es un número abrumador que hace que sea muy difícil resolver (mediante parches y actualizaciones). Dicho de forma muy simple, en el mundo del software y hardware la vulnerabilidad tiene que ver con fallas en la validación de la seguridad del sistema, las cuales son aprovechadas por los atacantes para que el sistema haga algo diferente o para acceder a activos y datos sensibles”, considera Juan Marino, gerente de Ciberseguridad de Cisco para América Latina.

El experto en seguridad y tecnología coincidió con el director de Tenable México en el sentido de que en la actualidad ya no se hace referencia al ciberdelincuente como individuo, sino que se habla de gangs o grupos de delincuencia que cuentan con soporte económico y gente hábil en la parte técnica; estas organizaciones se dedican a entender la infraestructura de las redes y a generar nuevas formas de malware.

Y no solo las compañías están expuestas, también las instituciones públicas que poseen información sensible son blanco de ciberataques, como quedó demostrado en días pasados con el hackeo de 6 terabytes de información clasificada, incluidos miles de correos electrónicos de la Secretaría de la Defensa Nacional (Sedena) del gobierno de México, algo que los expertos leyeron como muestra de la vulnerabilidad de las organizaciones en temas de ciberseguridad.

 

Entre los principales grupos que explotan el ransomware como negocio se encuentran Lockbit, Conti y Pysa. En los casos más recientes de ciberataques, el 63% han sido para exfiltrar datos. La extorsión promedio fue de US$247.000 y la extorsión máxima fue de 240 millones de dólares, ocho veces mayor a la presentada en 2020. El downtime promedio que padecieron las organizaciones atacadas fue de 22 días, mientras que el dwell time o tiempo de permanencia de los atacantes en los sistemas fue de nueve días.

En el informe de Tenable Retrospectiva del escenario de las amenazas de 2021, el equipo de  respuesta de seguridad determinó que al menos el 38 % de todas las filtraciones de datos en  2021 fueron el resultado de ataques de ransomware, en comparación con el 35 % en 2020. En el  sector de servicios de cuidados de la salud, el ransomware representó el 36,2 % de las filtraciones de datos y el 24.7 % en el sector educativo. Esto no quiere decir que el ransomware prevalezca  menos en otros sectores.

“La ciberdelincuencia está desplegando mucha inteligencia y tiene la capacidad identificar empresas que son más fáciles de golpear con menor esfuerzo, menor inversión y buenas ganancias. Es fácil para ellos detectar cuáles son las empresas que menos se preparan y previenen en ciberseguridad. La industria del ransomware ya tiene ubicadas las empresas que es mejor atacar y las que les pueden costar más trabajo y el exponerse, por eso se van con los que son más vulnerables”, advierte Carlos Ortiz, director general de Tenable México.

 

*Publicada en Forbes Perú