Secuestro de información:la continua reinvención del ransomware

El ransomware merece una mención especial cuando se habla del malware. Este tipo de código malicioso mantuvo su actividad y efectividad durante 2020, entre otras razones, debido a las nuevas condiciones de trabajo en las organizaciones y a su continua reinvención. El uso de familias de ransomware en ataques dirigidos se consolidó durante el año pasado. Al cifrado de los archivos en los equipos comprometidos para demandar un pago como rescate por la información se le sumó la práctica conocida como doxing, es decir, el robo de información y la posterior extorsión bajo la amenaza de hacer públicos los datos sensibles exfiltrados. En conjunto, ambas acciones aumentan la posibilidad de monetizar los ciberataques.

Además, se han agregado nuevas tácticas al modus operandi del ransomware, como lo que se ha denominado print bombing, que utiliza las impresoras disponibles en la red de las víctimas para imprimir la demanda del rescate. Otro medio de presión ejercido por las bandas de ciberdelincuentes son las “llamadas en frío” o cold calls al personal de las organizaciones afectadas que buscan evitar el pago del rescate respaldando su información, para intimarlos a pagar a través de amenazas y mecanismos de extorsión. Como si fuera poco, a las medidas utilizadas para ejercer presión a las víctimas de ransomware se han agregado ataques DDoS sobre los sitios web de las organizaciones afectadas, con el propósito de obligarlas a reanudar las negociaciones.

La operación de los grupos de ransomware puede entenderse como amenazas persistentes, ya que, en la mayoría de los casos, la ejecución del código malicioso resulta ser una de las últimas etapas de los ataques donde previamente fue comprometida la información y la infraestructura tecnológica.

Los grupos de ciberdelincuentes detrás de los ataques dirigidos se vuelven más agresivos, apuntando a todo tipo de organizaciones que van desde hospitales, universidades, organismos gubernamentales, bancos, hasta pequeñas, medianas y grandes empresas. Si bien algunos grupos de ransomware prometieron no atacar a las instituciones de salud durante la pandemia, otros continúan apuntando a este sector crítico durante la contingencia sanitaria global.

En los últimos meses de 2020 y primeros meses de 2021, se observaron probablemente los montos más elevados vistos hasta la fecha en cuanto a los rescates solicitados por los atacantes, haciendo del ransomware un negocio cibercriminal bastante lucrativo, como es el caso del modelo ransomware-as-a-service (RaaS), donde los desarrolladores del malware obtienen comisiones de los grupos que utilizan sus herramientas maliciosas.

La tendencia a la baja identificada en los ataques de ransomware de difusión masiva puede ser atribuida a las ganancias superiores obtenidas mediante los ataques dirigidos, combinados con las tácticas ya mencionadas. Otra condición puede estar relacionada con el RaaS y el hecho de que diversas familias de ransomware son distribuidas por otros códigos maliciosos en instancias posteriores.

Lo anterior también puede ser la razón por la que, a pesar de que familias de ransomware como Maze, Revil/Sodinokibi, DopplePaymer, NetWalker o Egregor han ocupado los titulares en los medios de comunicación en la región y a nivel global en el último año, no aparecen como las familias más detectadas.

De hecho, durante 2020, WannaCry o WannaCryptor (56,4%) con sus características de gusano, fue la familia con mayor porcentaje de detección en Latinoamérica, seguida de STOP (12,2%), Crysis (7,4%), Phobos (4,7%) y Philadelphia (1,9%). Estas detecciones están vinculadas a hashes conocidos que continúan propagándose en redes con sistemas desactualizados.

EL DOXING SE CONSOLIDÓ DURANTE 2020, CON VARIOS GRUPOS DE RANSOMWARE ADOPTANDO ESTA ESTRATEGIA QUE CONSISTE EN EL ROBO DE INFORMACIÓN Y LA AMENAZA DE PUBLICARLA EN CASO DE NO PAGAR EL RESCATE.