El ransomware siempre ha existido y siempre está evolucionando. Sin embargo, los ataques masivos de ransomware han aparecido con menos frecuencia que en años anteriores a medida que los atacantes cambian a ataques dirigidos. Ondrej Kubovic, Especialista en Concienciación de Seguridad de ESET, presenta esta visión en detalle.
Menos masivas, más selectivas
En el pasado, campañas masivas como WannaCry acababan en los buzones de correo de la gente. Nuestra telemetría muestra que el número de campañas masivas por correo electrónico que distribuyen ransomware ha disminuido", explica Kubovic.
También hay otras noticias positivas: cada vez se localiza y castiga a más creadores y operadores de ransomware. En 2021, Darkside cifró los datos de Colonial Pipeline, lo que provocó que la administración de la Casa Blanca y las fuerzas de seguridad estadounidenses se centraran más en este problema y aumentaran la cooperación internacional para luchar contra el ransomware.
Como explica Ondrej Kubovic, "las fuerzas de seguridad internacionales han encontrado formas de rastrear a los ciberdelincuentes y sus actividades, infiltrarse y a menudo romper su infraestructura y, en algunos casos, incluso detener a los afiliados y miembros principales de las bandas de ransomware, limitando así el número de ataques. En algunos casos, las autoridades consiguieron obtener las claves de cifrado que permitieron a las víctimas descifrar sus datos."
Cada vez se acusa a más miembros de bandas de ciberdelincuentes. En ocasiones se ha filtrado información valiosa sobre las operaciones de estos grupos, normalmente por infiltrados o saboteadores internos, como en los casos de Conti y Yanluowang. Los datos filtrados demuestran que estos grupos funcionan de forma similar a las empresas normales, con mandos superiores e intermedios, departamentos de desarrollo, pruebas y apoyo, e incluso departamentos de recursos humanos", señala Ondrej Kubovic.
Cómo hackeó la policía a los hackers
A principios de 2023, el Departamento de Justicia de Estados Unidos desarticuló el grupo de ransomware Hive. Durante varios meses, la policía analizó los sistemas y el funcionamiento del grupo, y recopiló claves de descifrado que posteriormente distribuyó a unas 1.300 víctimas. Según las estimaciones del Departamento de Justicia estadounidense, se evitaron daños por valor de unos 130.000 millones de dólares, que es lo que el grupo Hive exigía a las víctimas. "Aunque no se puede ayudar a todas las víctimas, el número de autores castigados y los casos de recuperación de datos han ido en aumento", afirma Ondrej Kubovic. |
No hay que subestimar el ransomware. Los atacantes se han decantado más por los ataques selectivos. Eligen una víctima, por ejemplo, una pequeña empresa, en función de los resultados económicos previstos -un mayor beneficio significa que la empresa podría estar más dispuesta a pagar el rescate-. "A menudo, los ciberdelincuentes eligen un sector interesante o crítico. En esos sectores, es crucial restablecer las operaciones empresariales lo antes posible si se ven interrumpidas, y en algunos casos, la solución más rápida es pagar lo que pide el atacante, aunque pagar no es recomendable, ya que no hay garantías de recuperar los datos", añade Kubovic.
¿Cómo eligen los atacantes a sus víctimas?
Los ciberdelincuentes están atentos a las nuevas vulnerabilidades de las que se informa públicamente, para analizarlas. Posteriormente, rastrean Internet en busca de sistemas vulnerables e intentan identificar a las empresas que los gestionan. De este conjunto, seleccionan los objetivos basándose en la combinación más interesante de probables ganancias económicas y acceso a datos potencialmente valiosos o críticos para la empresa. A continuación, se suelen producir vulneraciones de las redes seleccionadas, junto con robo de datos, cifrado de datos y extorsión. |
Si las bandas de ransomware comprometen pequeñas empresas que forman parte de una cadena de suministro interesante, esto puede aprovecharse para obtener acceso a más empresas y sistemas. Por ejemplo, infestando a un proveedor de servicios web, los ciberdelincuentes podrían acceder a los clientes y a sus sitios web. "Los proveedores de seguridad gestionada (MSP) también son objetivos habituales, ya que disponen de amplios accesos y permisos en los sistemas de sus clientes. Si el atacante compromete a un MSP, puede llegar a comprometer a docenas, si no cientos, de sus clientes al mismo tiempo. La mala noticia es que los ataques a la cadena de suministro van en aumento", afirma Kubovic.
Un ataque, 1500 empresas afectadas
En 2021, la empresa de tecnología Kaseya sufrió una brecha en su software de gestión remota de dispositivos. Los atacantes lo utilizaron para propagar un ransomware. Parece que los atacantes llevaron a cabo un ataque de ransomware en la cadena de suministro aprovechando una vulnerabilidad en el software VSA de Kaseya contra múltiples proveedores de servicios gestionados (MSP) y sus clientes", dijo ZDNet. Finalmente, Kaseya obtuvo las claves de descifrado de una fuente de confianza, que más tarde resultó ser el FBI, que se había infiltrado en los sistemas del grupo REvil.
¿Buscas más ejemplos de ataques a la cadena de suministro? Familiarízate con 3CX, SolarWinds y NotPetya. Hay mucho que aprender de ellos. |
Entonces, ¿cuáles son las principales conclusiones para tu empresa? Ten en cuenta que las empresas con cadenas de suministro atractivas, como los MSP, son objetivos frecuentes de los ataques de ransomware. Además, dado que los ataques se han vuelto más selectivos, asegúrate de que tu software y sistemas operativos están parcheados lo antes posible, utiliza una solución de seguridad multicapa que pueda detectar y bloquear un ataque, y forma a tus empleados para identificar la ingeniería social. Además, no olvides hacer copias de seguridad de tus datos y contar con una estrategia de recuperación ante desastres. Obtén más información sobre cómo prevenir los ataques de ransomware y proteger tu empresa de forma eficaz. Incluso los pequeños pasos importan.