El rescate del ransomware
Más de la mitad de ataques de ransomware piden un rescate de 10 millones de dólares.
El año 2021 ha consolidado una tendencia creciente en el ámbito de la ciberdelincuencia protagonizada principalmente por un incremento drástico de los ataques de Ransomware y sus consiguientes rescates, cuyos importes también se dispararon durante este año. Además, los cibercriminales ampliaron sus objetivos potenciales, desviando su foco hacia infraestructuras críticas y evolucionando hacia campañas de ataque a cadenas de suministro de software profundamente arraigadas, cuyo impacto es más amplio, duradero y, por ende, más costoso.
La sombría perspectiva de este tipo de ciberataques no exime a nadie de las consecuencias derivadas de los mismos, como el daño financiero, los titulares lapidarios y otros efectos resultantes. Así, los delincuentes de ransomware están penetrando progresivamente en los cimientos de nuestra economía digital, desde proveedores de software de confianza hasta proveedores de servicios IT.
En esta línea, una parte notable de estos ataques han sido emprendidos por un grupo reducido de bandas de ransomware. De hecho, a raíz del análisis realizado por Barracuda Networks, entre agosto de 2020 y julio de 2021, se observa que la banda REvil ha sido promotora del 19% de los ataques, seguida por DarkSide, quien ha efectuado un 8%.
En este Threat Spotlight examinaremos los patrones identificados en el análisis de estos ataques de ransomware:
Amenaza destacada
Los cibercriminales emplean software malicioso a través de emails que normalmente camuflan en un archivo adjunto o un enlace, buscando infectar la red, bloquear el email, datos u otros archivos críticos hasta que se abone el rescate.
Estos ataques tan sofisticados son dañinos y costosos. Pueden paralizar las operaciones diarias, causar caos y derivar en pérdidas financieras debido al tiempo de inactividad, los pagos de rescate, los costes de recuperación y otros gastos no presupuestados.
Recientemente, los criminales han refinado las tácticas para crear una trama de doble extorsión. Basan las peticiones del rescate acorde a investigaciones que realizan previamente. Roban datos sensibles de las víctimas y demandan el pago a cambio de la promesa de no hacer pública ni vender esta información. Dado que estos criminales no son de fiar, normalmente las víctimas que pagan una primera vez vuelven a ser contactadas unos meses después con el ánimo de que realicen otro pago para mantener la información oculta. Incluso, algunos atacantes, una vez recibido el pago, publican la información indistintamente.
Los detalles
En los últimos 12 meses, investigadores de Barracuda han identificado y analizado 121 incidentes de ransomware, lo que supone un incremento del 64% respecto al periodo anterior. Los ciberdelincuentes continúan atacando de modo lesivo a los organismos municipales, la sanidad pública y las instituciones educativas, aunque se ha descifrado un incremento de los ataques a empresas privadas.
Grandes corporaciones, como constructoras, servicios financieros y de viajes, u otros negocios, componen más del 57% de los objetivos de estos ciberataques, lo que supone un aumento del 18% respecto al último estudio. Las empresas relacionadas con infraestructura representan el 10% de todos los incidentes que se han investigado. De hecho, los ataques de ransomware evolucionaron rápidamente a ataques a la cadena de suministro de software para, de esa manera, impactar sobre más empresas en un solo intento.
Como ya se ha remarcado previamente, las administraciones locales no siempre están bien preparadas para afrontar estas agresiones, dado que suelen contar con presupuestos limitados, equipos de IT pequeños y herramientas desactualizadas... Y el problema es más grave de lo que parece, especialmente porque los proveedores de software de confianza se han empleado como arma contra sus clientes, lo que ha provocado ataques de fuentes inesperadas a un ritmo alarmante.
Desde una perspectiva geográfica, casi la mitad de los ataques de los últimos 12 meses afectaron a empresas estadounidenses (44%), aproximadamente un 30% se produjeron en las regiones de Europa, Oriente Medio y África, 11% en países de Asia Pacífico, 10% en Sur América y el porcentaje restante en Canadá y México. En cualquier caso, mientras los cibercriminales siguen enfocándose en ataques a organizaciones radicadas en Estados Unidos, los estudios demuestran que los ataques de ransomware se están volviendo dominantes en todo el mundo.
Explotar las vulnerabilidades a favor de los ataques de ransomware
Los patrones de ataques de Ransomware también están evolucionando. Más allá de simplemente utilizar enlaces malignos y archivos adjuntos, los cibercriminales continúan perfeccionando sus tácticas. En primer lugar, los atacantes encuentran maneras de robar credenciales mediante ataques de phising y, posteriormente, hacen uso de estas para comprometer la aplicación. Una vez la aplicación ha sido comprometida, el atacante puede introducir ransomware y otros tipos de programa maligno en el sistema.
Es fundamental remarcar que las aplicaciones web poseen múltiples vías de entrada, incluyendo las redes que permiten a los usuarios trabajar en remoto. Un portal web para un segmento de tu estructura de IT es tan peligrosa como una aplicación SaaS integral. En múltiples ocasiones en el pasado año, los atacantes explotaron vulnerabilidades para obtener el control de la aplicación y eventualmente ir a por la información más valiosa para encriptar.
Las 10 principales amenazas identificadas por OWASP (Open Web Application Security) para la seguridad de las aplicaciones son mecanismos potenciales para obtener acceso a la infraestructura de una organización. Delegar solo en una VPN para los trabajadores en remoto también representa un autentico riesgo, ya que muchas credenciales han sido filtradas a la "darkweb". Por ejemplo, el ataque de ransomware a Colonial Pipeline se inició en mayo, cuando los hackers lograron acceder a la plataforma por medio de una conexión a través de una VPN comprometida.
Tendencias de pago de rescates
Tal y como se ha visto en los últimos años, la cantidad demandada como pago en rescates se ha engrosado notablemente y, a día de hoy, la cantidad media que se exige como supera los 10 millones de dólares. Únicamente en un 18% de los ataques se demandó menos de esa cuantía, y en un 30% se superó los 30 millones de dólares.
Desde el auge de las criptomonedas, se ha observado una correlación entre un aumento de ataques de ransomware y el incremento de la cuantía exigida. Dada la mayor represión contra el Bitcoin y la mejora de la trazabilidad de las transacciones realizada con este criptoactivo, los delincuentes están comenzando a exigir métodos de pago alternativos, como la banda de ransomware REvil, que solicita Monero en lugar de Bitcoin.
Aun así, en la investigación realizada por Barracuda, se observa que varias víctimas lograron negociar el importe. La empresa JBS redujo la 'deuda' desde los 22.5 millones de dólares hasta los 11 millones, y Brenntag, una distribuidora química de Alemania, desde los 7.5 millones de dólares hasta los 4.4 millones. La petición inicial puede no ser la definitiva, así que, si se plantea pagar, es importante que las víctimas exploten las opciones de negociación. El resultado puede ahorrar millones a los damnificados.
También se aprecia un aumento de las empresas que se niegan a pagar el rescate, y es probable que esta tendencia provoque un aumento de la cantidad demandada en los mismos. A esta corriente le acompañan las colaboraciones cada vez mas comunes entre las autoridades y los negociadores de rescates. El FBI ha descubierto recientemente las carteras de bitcoins de DarkSide y ha podido recuperar algunos de los pagos del rescate, además de interrumpir los pagos a los afiliados del grupo de ransomware. Se trata, sin duda, de señales alentadoras en la lucha contra estos ciberataques.
Más allá de las acciones legales, también hemos visto a la Casa Blanca hablar directamente con los líderes mundiales y exigir acciones decididas contra la protección de los ciberdelincuentes. Dada la naturaleza de alto perfil e impacto de los ataques recientes, en particular los ataques contra la infraestructura crítica, el Gobierno de EE.UU ya no solo envía advertencias, está dispuesto a emprender acciones serias incluso contra los estados si existen pruebas claras de complicidad o negligencia en la vigilancia de los ciberdelincuentes.