Se forma grietas en el ecosistema de Ransomware, según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, el ransomware es la amenaza más inmediata para las empresas de todo el mundo. Atrás quedaron los días en que los actores de ransomware apuntaban a una sola máquina e intentaban extorsionar a un usuario robando sus datos. La amenaza del ransomware actual es organizada y sofisticada, con tecnología que se ha democratizado hasta el punto de que el ransomware se ha convertido en su propia economía.
Algunos operadores de ransomware jugarán un juego de números y se dirigirán a los MSP (proveedores de servicios gestionados) con ataques a la cadena de suministro de software que afectarán a miles de empresas. Otros, como los grupos APT (amenaza persistente avanzada), perseguirán objetivos específicos para desestabilizar gobiernos o aprovechar datos de alto valor para extorsionar a millones. El año pasado en los EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) observó incidentes de ransomware que afectaron a 14 de los 16 sectores de infraestructura crítica de los Estados Unidos, incluidos defensa, alimentación y agricultura, instalaciones gubernamentales e incluso los servicios de emergencia. El Centro de Seguridad Cibernética de Australia (ACSC) ha informado recientemente que los operadores de ransomware atacan continuamente su infraestructura crítica, llegando incluso a publicar unDeclaración de asesoramiento conjunto con los EE. UU. y el Reino Unido para advertir sobre la creciente amenaza del ransomware tanto para las entidades gubernamentales como para las empresas privadas.
Esto concuerda con los hallazgos que publicamos en nuestro Informe de seguridad de 2022 . Revelamos un aumento interanual del 50 % en los ataques cibernéticos en 2021, con 1 de cada 61 organizaciones en todo el mundo afectadas por ransomware cada semana. El sector gubernamental/militar experimentó un aumento del 47 % en la cantidad de ataques semanales, el sector de las comunicaciones experimentó un aumento del 51 %, pero el sector de la educación/investigación sufrió el mayor aumento con un 75 %, con un promedio de 1605 ataques cibernéticos por semana durante todo el año. Este fuerte aumento podría atribuirse, al menos en parte, a la mayor vulnerabilidad de las organizaciones a medida que avanzan hacia modelos de trabajo híbridos en respuesta a la pandemia. Pero un culpable más probable es el creciente Ransomware-as-a-Service (RaaS)economía, en la que los grupos de ransomware y sus afiliados empaquetan y venden efectivamente ransomware listo para usar a «clientes» que luego organizan el ataque. Estos operadores de ransomware de primer nivel no solo ofrecen ransomware en sí, sino que a menudo ofrecen servicios de lavado de dinero, especialistas en negociación e incluso manuales detallados para acompañarlo, como lo demuestra el «libro de cocina» de Conti recientemente filtrado . Esta democratización del ciberdelito ha creado toda una subindustria de ransomware, en la que la competencia impulsa la innovación como lo haría en cualquier sector legítimo.
Sin embargo, gracias a los esfuerzos de los investigadores de sombrero blanco y los especialistas en seguridad, así como a los gobiernos de todo el mundo que ahora fortalecen su postura de seguridad y adoptan un enfoque más proactivo, ahora comienzan a aparecer grietas en el ecosistema de ransomware.
¿Fue el ataque al Oleoducto Colonial el punto de inflexión?
Una de las características distintivas de los ataques de ransomware modernos es el daño generalizado que pueden causar en el mundo real, desde paralizar el Servicio Nacional de Salud del Reino Unido hasta llevar al caos al Departamento de Seguridad Nacional de EE. UU.. Pero nunca se han resaltado tan claramente las consecuencias en el mundo real de un ataque exitoso de ransomware como el ataque a Colonial Pipeline en 2021. Colonial Pipeline, uno de los operadores de oleoductos más grandes de los EE. UU., suministra aproximadamente el 45 % del combustible de toda la costa este, desde mantener calientes los hogares y los negocios, hasta alimentar automóviles, jets e incluso equipos militares. Los operadores del ransomware DarkSide se aprovecharon de una supuesta vulnerabilidad sin parchear en el sistema de Colonial Pipeline, lo que obligó a la empresa a desconectar ciertos sistemas para contener la amenaza. El costo del combustible se disparó, se produjeron compras de pánico y los sectores militar y de aviación podrían haberse visto gravemente afectados si la situación no se hubiera remediado una semana después.
Este ataque pareció ser la gota que colmó el vaso para la administración de Biden, que anunció poco después del incidente que se sancionaría a los intercambios de criptomonedas como SUEX, con sede en Rusia, lo que dificultaría que los actores de ransomware se beneficiaran de sus ataques. Este parecía ser el primero de una serie de eventos que finalmente llevaron a la formación de grietas en el ecosistema de ransomware y prueba, si es que se necesitaba alguna, de que adoptar un enfoque proactivo en lugar de uno correctivo es la forma más efectiva de combatir el ciberdelito.
En los EE. UU., el ransomware ahora es considerado por el Departamento de Justicia como una amenaza para la seguridad nacional. La Unión Europea y otros 31 países de todo el mundo también se han unido a EE. UU. para sancionar los intercambios de criptomonedas para interrumpir las actividades de los operadores de ransomware. En Australia, se ha establecido un nuevo «Plan de acción de ransomware» , que otorga a las organizaciones e instituciones gubernamentales un mayor poder y capacidades para abordar el ransomware de frente. Estos movimientos son indicativos de cuánto han cambiado las posturas de seguridad de los gobiernos de todo el mundo de reactivas a proactivas, y las organizaciones harían bien en seguir su ejemplo.
Agitación en el ecosistema del ransomware
Los operadores de ransomware se sientan a la «cabeza» del ecosistema de ransomware y, al igual que para cualquier proveedor de servicios, la reputación es importante . Los grupos de RaaS necesitan atraer afiliados o clientes para hacer crecer su red y aumentar sus ingresos, por lo que cualquier interrupción infligida a estos grupos puede tener consecuencias nefastas e incluso volver a la industria contra sí misma.
Como se revela en nuestro informe, un mes después del ataque a Colonial Pipeline, el grupo DarkSide responsable anunció que cerraría después de que sus servidores fueran incautados y sus fondos criptográficos fueran robados. Esto tuvo un impacto en cadena en su capacidad de pagar a sus afiliados de RaaS. El grupo REvil, responsable de la violación de Kaseya MSP en julio de 2021, también desapareció más tarde ese año después de que una operación policial secuestró con éxito su infraestructura y su blog, lo que le dio al grupo una muestra de su propia medicina. El Departamento de Justicia fue aún más lejos, arrestó a miembros del grupo REvil y confiscó más de $6 millones en dinero de rescate.
Pero, ¿qué significa esto para el ecosistema de ransomware?
Algunos grupos perpetradores ahora presionan más a sus víctimas para mantener alejadas a las autoridades durante los ataques de ransomware. El grupo de ransomware Grief , por ejemplo, amenazó con eliminar por completo las claves de descifrado de sus víctimas si contrataban a negociadores profesionales, algo que antes podrían haber recibido como una forma de extorsionar dinero. Más allá de eso, la orientación proactiva de los operadores de ransomware ha provocado que una oleada de operadores y afiliados abandonen la arena o se separen unos de otros y «cambien de marca» para distanciarse de cualquier acusación o incautación. Después del cierre de DarkSide, por ejemplo, varios miembros formaron un grupo disidente llamado BlackMatter, pero también fue presionado por las autoridades y cerró antes de que terminara el año.
Esta interrupción del ecosistema de ransomware no es única, sino el resultado de una mayor presión de las agencias gubernamentales de todo el mundo para frenar lo que se está convirtiendo rápidamente en una amenaza global. Sin embargo, las organizaciones no deberían sentirse demasiado cómodas.
Aún no está fuera de peligro
Si bien 2021 asestó un golpe significativo al ecosistema de ransomware, es probable que todavía veamos millones de ataques de ransomware a lo largo de 2022, con operadores y afiliados nuevos y existentes que intensifican sus esfuerzos de ataque. Emotet, una de las botnets más peligrosas de la historia, regresó a fines de 2021, a pesar de un esfuerzo coordinado de los gobiernos de todo el mundo para eliminarlo. Este troyano bancario convertido en botnet modular ha infectado 1,5 millones de computadoras en todo el mundo en miles de redes corporativas, a menudo utilizado como mecanismo de entrega para ataques de ransomware en toda la red.
Por lo tanto, las organizaciones deben permanecer alerta y, al igual que los gobiernos de todo el mundo, adoptar una postura más proactiva y preventiva para hacer frente a la creciente amenaza del ransomware. Eso significa aprovechar la inteligencia de amenazas globales en tiempo real, como la que ofrece ThreatCloud de Check Point , y tomar medidas para proteger su negocio no solo de las amenazas que puede ver, sino también de las que no puede ver. Las vulnerabilidades de día cero y los ataques de quinta generación (Gen V) son amenazas sofisticadas que requieren una respuesta sofisticada, así como capacitación de concientización de los empleados, copias de seguridad continuas, autenticación multifactor y empleo del principio de privilegio mínimo .
Las grietas en el ecosistema del ransomware pueden estar comenzando a mostrarse, pero si bien los golpes recibidos recientemente indican que los actores del ransomware podrían estar perdiendo la batalla, la guerra cibernética está lejos de terminar.
Acércate a BG2 y protégete de ésta y otras amenazas, agenda una sesión con nuestros expertos!
