por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

Desde Colonial Pipeline hasta Kaseya, pasando por muchas otras organizaciones que se han enfrentado al ransomware en 2021, ha sido un año difícil para los afectados por este tipo de amenazas.

Un análisis realizado por la unidad de investigación de SILIKN — aplicado a 610 empresas mexicanas y extranjeras con operaciones en el país — señala el problema creciente y encuentra que el 59.2% de los líderes de seguridad y sistemas identifican al ransomware como su principal preocupación durante los próximos dos años.

El análisis también indica que el COVID-19 tuvo un impacto significativo en el panorama del malware, ya que el 45.7% de las organizaciones informaron un aumento de bajo a alto en los volúmenes de malware desde que comenzó la pandemia. El 41.8% de los encuestados identifican al phishing como el vector de ataque más común para las infecciones de malware, y el 59.6% de los líderes de seguridad dicen que su mayor desafío es evaluar el riesgo asociado con los nuevos tipos de malware.

El 78.9% de los encuestados creen que el malware que encontraron durante los últimos 12 meses es significativamente más efectivo para penetrar sus defensas que el malware anterior. El 84.1% describe la evaluación y valoración del riesgo de malware como un gran desafío para los siguientes 12 a 18 meses.

Evolución de los grupos cibercriminales de ransomware

A lo anterior, la unidad de investigación de SILIKN detectó que parte del problema se ha agravado debido a la evolución y organización de los grupos cibercriminales. La tendencia indica que los cibercriminales están creando estructuras cada vez más grandes y coordinadas para realizar sus ataques.

El análisis señala que algunas de las bandas de ciberdelincuentes de ransomware más grandes de Rusia se están asociando y están compartiendo técnicas, herramientas y metodologías de ciberataques, información de datos robados y filtrados, código de malware e infraestructura tecnológica.

Hay cuatro grupos en especial que demuestran una alta actividad en la conformación de estas estructuras: LockBit, Wizard Spider, Twisted Spider y Viking Spider. Esta sociedad delictiva controla conjuntamente el acceso a sitios de filtración de datos ilícitos y código de ransomware personalizado. También son frecuentemente referencia del ecosistema de ransomware, pues ejercen influencia sobre bandas más pequeñas y otorgan licencias de sus herramientas a sus afiliados.

LockBit, por ejemplo, sube información robada de forma frecuente a un sitio alojado por los otros asociados y se utiliza principalmente para ataques de phishing que distribuyen ransomware, así como para exponer los datos en las víctimas y presionarlos y extorsionarlos para que paguen los rescates.

Estos sitios web también contienen herramientas para crear ciberataques y exploits de software conocidos como vulnerabilidades de día cero que son compartidos entre todos los asociados.

De acuerdo con el análisis de la unidad de investigación de SILIKN, los grupos cibercriminales con frecuencia colaboran, atacan, se separan, cierran operaciones, cambian de marca y se reagrupan para regresar a las actividades. El problema es que — al operar como si fueran organismos empresariales y buscar la ‘profesionalización’ de sus actividades — los grupos cibercriminales asociados están creciendo rápidamente, tienen cada vez mayor alcance, mayores capacidades de ataque y nuevos vínculos con otros grupos de ciberdelincuentes.

Algunas bandas de ransomware son tan sofisticadas que tienen una estructura que incluye inversionistas, responsables de alianzas estratégicas, servicio de atención al cliente, soporte técnico, así como procesos de mediación para abordar altercados y solucionar conflictos. Por ejemplo, el grupo cibercriminal REvil — por el momento desaparecido — depositó un millón de dólares en un fondo alojado en un foro de ciberdelincuentes para garantizar los pagos de afiliados, con la esperanza de atraer ciberatacantes de alta calidad. Cuando la banda de ransomware DarkSide cesó repentinamente sus operaciones, algunos de sus afiliados no recibieron ningún pago. El dinero del foro criminal se utilizó para pagar a esos afiliados, lo que provocó una disputa que se resolvió mediante herramientas de comunicación interna.

Otra tendencia es el crecimiento de la modalidad de Ransomware como servicio (RaaS), que al igual que el software como servicio — una industria que vende suscripciones a software en lugar de descargas — , permite que cualquiera pague una tarifa para licenciar la tecnología y las habilidades de un ciberatacante. Grupos como REvil y DarkSide, supuestamente responsables de algunos de los ataques de ransomware más grandes de la historia, ofrecieron un servicio al cliente amigable y soporte técnico a las mismas víctimas.

Estos nuevos modelos y asociaciones dentro del cibercrimen plantean nuevos desafíos, porque un megagrupo cibercriminal es mucho más peligroso que los grupos independientes, tiene una mejor estructura, una mejor organización y — con la adecuada coordinación — sus cepas de ransomware pueden ser más perjudiciales que cualquier arma cibernética individual.