Por mucho que hablemos del ransomware, siempre hay algo más que contar sobre esta amenaza. Y es que no hay semana que no sepamos, como mínimo, de un ataque exitoso. Esta misma semana, sin ir más lejos, hemos tenido el ataque a Colonial Pipeline, que ha causado enormes problemas en la distribución de combustible en Estados Unidos. Hace unas semanas vivimos un golpe más cercano, concretamente el que asestó Babuk a Phone House,
Aunque muchas de las organizaciones dedicadas al ransomware son particularmente herméticas, hay otras que sí que son más dadas a tener un cierto perfil público, con blogs en los que informan sobre sus acciones, además de hacer declaraciones de intenciones y, con argumentos más o menos pueriles, intentan justificar sus actos. Además, y como veremos más adelante, existe una comunicación «en abierto» (dentro de la darkweb, eso sí) entre operadores, clientes y otras terceras partes. Kaspersky ha intentado profundizar en la estructura del ransomware y nos ha mostrado algunas instantáneas de lo más interesantes.
No es la primera vez que Kaspersky hace pública parte de la información que extrae de la darkweb, ya en 2017 publicaron un extenso y muy interesante artículo sobre cómo operan algunos grupos de origen ruso. Aquella publicación resultaba reveladora en muchos aspectos, pues nos proporcionó una visión bastante profunda sobre cómo operan los grandes grupos, y demostró ya en aquel momento el enorme potencial de crecimiento que iba a experimentar la industria de la extorsión.
Recuerdo haber leído ese informe en su momento y estas conclusiones iniciales me llamaron mucho la atención:
- It’s easy to buy a ransomware build or builder on the underground market
- It’s easy to buy a distribution service
- Crypto ransomware, as a business, has a very clear monetization model through cryptocurrencies
Así, según pudimos ver en su momento, el modelo as a service ya era predominante en aquel momento. Hace unos meses te hablamos de cómo funcionaba el ransomware Smaug (aparentemente ya desaparecido), pero en realidad este modelo parece ser el predominante desde hace bastante tiempo. Existen organizaciones, claro, que explotan en exclusiva sus desarrollos, pero otras muchas pueden ser contratadas del mismo modo que otros tantos servicios online.
Desde la publicación de aquel informe, el día de San Valentín de 2017, ya han pasado más de cuatro años, un periodo en el que el ransomware ha evolucionado mucho en varios sentidos. El primero, por supuesto, ha sido su alcance, y es que si en 2017 ya hablábamos de esta amenaza, no podíamos llegar a imaginar que, con el paso de los años, se convertiría en el monstruo que es ahora. No hay encuesta sobre seguridad a responsables IT de todo tipo de empresas en la que no se mencionen los temores frente a esta amenaza.
Uno de los grandes pasos evolutivos del ransomware en estos años ha sido incorporar la exfiltración de los datos en una fase del ataque. Y es que los primeros tiempos del ransomware actuaron como dinamizador en lo referido a las copias de seguridad. Y es que el secuestro de los activos digitales puede ser revertido si las copias de seguridad se mantienen a salvo, y antes de recuperar su contenido se realiza una reinstalación completa de los sistemas, para eliminar todos los elementos del ransomware.
Sin embargo, la exfiltración de activos lo ha cambiado todo, pues incluso si la empresa afectada puede recuperar sus activos, se verá sometida a una feroz extorsión, ya que no solo se le exigirá el pago para recuperar sus archivos, sino también para evitar que la información robada se haga pública, como en el caso de Phone House, o sea puesta a la venta en el mercado negro. Una amenaza por partida doble, y de cuyos efectos es muy difícil escapar.
Ransomware 2021
Dada la evolución de estos últimos cuatro años, Kaspersky ha elaborado un nuevo informe basado en el análisis los foros de la darknet e investigado a los grupos REvil y Babuk, dos de los más temibles y activos en la actualidad. Y esto resulta interesante tanto para saber mejor cómo funcionan estas organizaciones, como para combatir mitos muy extendidos en este campo, como el modo en el que se relacionan e interactúan entre sí.
Y lo primero que nos revela Kaspersky es que, en contra de la creencia generalizada, que plantea que los grupos dedicados al ransomware son particularmente estancos, en realidad es una comunidad muy dinámica en la que los diversos agentes: desarrolladores, botmasters, vendedores de acceso, operadores de ransomware, etcétera, se relacionan constantemente entre sí, estableciendo colaboraciones de las que nacen los ataques que, tiempo después, llegan a los titulares de los medios. Dichos encuentros suelen tener lugar en los foros de la darkweb.
Las colaboraciones que surgen en dichos foros suelen funcionar mediante el modelo de afiliación, y estas son especialmente populares entre los grupos más pequeños, que no cuentan con toda la infraestructura necesaria para llevar a cabo todas las fases y operaciones asociadas a un ataque. Y los márgenes suelen resultar bastante generosos, puesto que el operador del ransomware suele recibir entre el 20% y el 40% de los beneficios obtenidos por el ataque, dejando por tanto entre un 60% y un 80% del botín para el afiliado. Un modelo que incentiva a muchas personas a intentar organizar ataques de la mano de estos operadores.
En este punto, sin embargo, es importante aclarar que los operadores de ransomware son bastante selectivos, y además establecen barreras de entrada y ponen condiciones sine qua non para las campañas que se desarrollan con su malware. Por ejemplo, algunos operadores rusos imponen, como limitación, que la campaña no afecte a ninguna empresa ni entidad rusa, con el fin de evitar las posibles medidas policiales y judiciales que se puedan llevar a cabo contra ellos.
Como recordarás, si leíste el artículo sobre Smaug, era necesario realizar un pago previo de 0,2 bitcoins (algo más de 9.500 euros al cambio en aquel momento) y, en caso de lograr un ataque exitoso, su operador se quedaría con el 20% de lo recaudado en el rescate. Ahora, por lo que nos cuenta Kaspersky, comprobamos que este modelo está bastante extendido.
Este modelo me hace pensar en un riesgo del que no hemos hablado demasiado hasta ahora, y es el de los empleados descontentos o ex empleados rencorosos y que cuenten con información útil para, por ejemplo, diseñar una campaña de spearphishing que sirva como puerta de entrada al ransomware. Si finalmente se confirman los planes que Babuk publicó efímeramente hace unos días, de liberar su ransomware para que lo pueda emplear todo el mundo, las perspectivas son muy grises.
En cuanto a las víctimas, algunas organizaciones dedicadas al ransomware imponen ciertas restricciones, más allá de las locales mencionadas anteriormente. Por ejemplo, varias de ellas excluyen las empresas del ámbito sanitario, el social y similares. No obstante, esto no significa que dichas entidades puedan descuidarse, pues ni hay razones para confiar en que estos grupos mantendrán siempre dichas políticas, ni todos los ciberdelincuentes suscriben dicho código ético.
Lo más interesante, sin duda, y que nos confirma el estudio de Kaspersky, es saber que el ecosistema del ransomware está enormemente interrelacionado entre sí, y que los foros de la darkweb funcionan como un enorme hub en el que se dan encuentro los expertos en diversas áreas, orquestando los ataques en base a colaboraciones entre ellos, sumadas a programas de afiliación que acercan el ransomware a cualquier persona con la capacidad de dar con dichos espacios y, claro, el dinero para asumir el pago inicial que muchas organizaciones exigen como fee de entrada.
¿Y qué nos indica esto? Pues nada bueno. Si el ransomware dependiera de organizaciones cerradas su expansión sería, sin duda, más lento. Sin embargo, en un escenario tan dinámico, el crecimiento está asegurado, y los expertos que quieren adentrarse en el mundo de la ciberdelincuencia lo tienen muy fácil, pues basta con que se especialicen en un área concreta y, posteriormente, publiciten sus servicios en la darkweb.
Con esta visión que nos aporta Kaspersky, solo podemos esperar un recrudecimiento del ransomware a corto y medio plazo, más aún si se empiezan a liberar herramientas, como anunció fugazmente Babuk. Sea como fuere, es imprescindible blindarse en la medida de lo posible frente a la amenaza que plantea el ransomware. Y es que, de lo contrario, no hace falta que te digamos cuáles pueden ser las consecuencias, puesto que ya lo estás viendo cada día, en la información de actualidad.
La entrada Kaspersky: en las tripas del ransomware es original de MuySeguridad. Seguridad informática.