Claudia Rincón Pérez, CEO de Factoría IT, nos dice que el ransomware comenzó con atacantes que encriptaban archivos de usuarios individuales, exigían unos cientos de dólares y le daban a la víctima una clave para desbloquear sus archivos una vez que pagaban. Sin embargo, muy rápidamente, los ataques de ransomware se transformaron en una amenaza mucho más costosa y mortal que se aprovechó principalmente contra organizaciones y empresas.
Las bandas de ransomware son cada vez más descaradas. En 2021, alcanzaron objetivos de alto perfil como Kaseya y Colonial Pipeline . La pregunta ahora es: ¿qué tan peor va a empeorar la situación?
¿Por qué ransomware, por qué ahora?
Como la mayoría de las empresas, las bandas de ransomware aprecian la eficiencia. Los ataques de ransomware suelen ser de baja complejidad y muy lucrativos. Los atacantes pueden hacer relativamente poco esfuerzo (en comparación con otros tipos de ciberataques) y obtener una gran recompensa. Como resultado, las bandas de ransomware se están volviendo cada vez más audaces a medida que van con todo.
Los autores intelectuales detrás de las campañas de ransomware también son tenaces. El hecho de que una pandilla sea eliminada no significa que las personas detrás de ella estén fuera del juego del ransomware.
Los actores del ransomware pueden evaluar lo que han hecho, familiarizarse más con el panorama y probar nuevas tácticas la próxima vez. Pueden volver a formarse con nuevos nombres y atacar a nuevas empresas.
¿Que sigue?
¿Qué nos depara el futuro del ransomware? Estas son algunas de las tácticas y motivaciones que están impulsando las tendencias de ransomware.
De doble a triple extorsión
Durante años, los actores de ransomware solo realizaron un nivel de extorsión: cifraron archivos y luego exigieron un rescate para entregar la clave de descifrado. A medida que las empresas mejoraron sus procesos de respaldo, las pandillas se adaptaron y recurrieron a la doble extorsión.
Ahora, antes de encriptar datos, bandas como REvil exfiltran información confidencial de la red antes de encriptar archivos o anunciar su presencia. De esa manera, además de retener datos cifrados para obtener un rescate, pueden incentivar a sus objetivos a pagar el rescate para evitar la exposición pública de los datos exfiltrados.
Pero, ¿por qué detenerse ahí? El siguiente paso para los ciberdelincuentes es agregar una tercera capa de extorsión , con terceros en la mira. Ya no serán solo las empresas las que estén en riesgo, sino también los clientes. Los delincuentes utilizarán los datos robados en un ataque para extorsionar a los propietarios reales de información confidencial.
Vectores de novel ransomware attack
Además de pasar del cifrado a la exfiltración de datos, las bandas de ransomware están probando nuevos vectores de ataque.
El phishing ha sido la forma clásica de hacerse un hueco en los sistemas y la red de la empresa. El spear phishing, que generalmente se dirige a los líderes de la empresa con mensajes sofisticados que utilizan detalles que se encuentran en las redes sociales y a través de otros métodos de inteligencia de código abierto (OSINT), también es una táctica preferida. El riesgo de sufrir una suplantación de identidad (spear phishing) aumenta a medida que más organizaciones adoptan aplicaciones en la nube como las plataformas SaaS.
Pero a medida que crece la autenticación de dos factores y la conciencia de la suplantación de identidad (phishing), los ciberdelincuentes van más allá y se centran en la tecnología de acceso remoto para obtener acceso. Están utilizando nuevos métodos para determinar los puntos débiles y obtener acceso a las redes. Las tecnologías más antiguas son fáciles de comprometer y más empresas están utilizando tecnologías de acceso remoto gracias al aumento del trabajo desde casa desde el comienzo de la pandemia COVID-19 .
Infraestructura crítica en riesgo
Los atacantes de ransomware están centrando su atención en la infraestructura crítica. Dado que una interrupción de la infraestructura crítica puede perturbar a muchas personas y empresas y causar un daño significativo a la reputación del objetivo, estos ataques suelen ser lucrativos para los delincuentes. Las pandillas lo saben y tienen cuidado de seleccionar a las víctimas ideales.
Las empresas de infraestructura crítica que han sido blanco de los ciberdelincuentes en los últimos años incluyen las empresas de petróleo y combustibles fósiles Colonial Pipeline y Pemex. En el futuro, los ataques probablemente se extenderán a otros sectores de infraestructura crítica y apuntarán a nuevas tecnologías, como las finanzas descentralizadas (DeFi).
Escrutinio de los gobiernos globales
El aumento del ransomware y su enfoque en la infraestructura crítica está llamando la atención de los gobiernos de todo el mundo.
Bajo la presidencia de Biden, el Departamento del Tesoro está comenzando a amenazar con imponer sanciones a las empresas que ayuden a los ciberdelincuentes a lavar dinero. Esto se está volviendo cada vez más importante dado el mayor uso de monedas digitales y la mayor infraestructura que florece en torno a las finanzas descentralizadas.
Actores del Estado-nación
Muchos de estos actores de ransomware son bandas privadas con motivaciones financieras. Pero a medida que el enfoque se desplaza hacia la infraestructura crítica, surge una idea más seria. En este momento, la recompensa para estas bandas privadas es el dinero, pero ¿y si los actores patrocinados por el estado comenzaran a seguir estas tendencias? Ellos serían los actores con la motivación, la escala y el conocimiento para lanzar ataques de alta complejidad y alta recompensa contra objetivos públicos y privados críticos. El objetivo de estos ataques se extendería más allá de la ganancia financiera para cumplir un propósito más siniestro, como misiones de inteligencia o paralizar a otro país mediante la destrucción de infraestructura crítica.
La conclusión es que, actualmente, los ataques de ransomware suelen ser de baja complejidad, pero muy lucrativos. Los delincuentes hacen relativamente poco esfuerzo y obtienen una gran recompensa. Si bien este sigue siendo el caso, las bandas de ransomware seguirán siendo una amenaza, exigiendo más, afinando sus métodos y robándose el show como algunos de los ciberdelincuentes más aterradores que existen.