Los atacantes detrás del ransomware han tomado un enfoque hacia la profesionalización. Mientras que hace algunos años operaban de forma individual y como aficionados, hoy se han convertido en pandillas que, así como cualquier otra organización, actúan con tal sinergia que les permite plantear objetivos específicos para sus ataques, generar un mayor impacto en sus víctimas y por supuesto, convertir su actividad en una profesión altamente rentable.
Una de las razones de su evolución puede ser explicada a partir del factor económico, pues 90% de las empresas víctimas de ransomware está dispuesta a pagar el rescate si volvieran a ser atacadas, lo que los incentiva a especializarse más, como lo demuestra el informe de Kaspersky ‘Cómo perciben los ejecutivos de las empresas la amenaza del ransomware’.
Aunado a la profesionalización, los grupos de ransomware de hoy son marcas. Y así como las de calzado deportivo, comida rápida o la de cadenas de cafeterías buscan tener un distintivo específico a partir de un slogan, las pandillas de ransomware se diferencia una de otra a partir de su estilo de ataque.
En lo que va de 2022, analistas de Kaspersky han detectado tendencias muy específicas sobre la profesionalización de los atacantes. A continuación, comparto algunas de ellas a las que debemos estar atentos con la finalidad de poder prevenirlas.
La primera tiene que ver con el objetivo de dañar al mayor número de sistemas posible utilizando un mismo malware, diseñado bajo un código que se puede ejecutar en diferentes sistemas operativos. Tal y como lo haría una empresa de redes sociales, que requiere que su aplicación esté disponible para una gran cantidad de usuarios. Por ejemplo, Conti, el grupo que puso en emergencia nacional al gobierno de Costa Rica y que le exigía el pago de 20 millones de dólares por liberar la información que había sustraído, desarrolló una variante que se distribuye a través de afiliados seleccionados y se dirige a Linux. Otras organizaciones, como BlackCat, autonombrada como de ‘próxima generación’, y DeadBolt, emplean lenguajes de programación multiplataforma como Rust y Golang para desarrollar ransomware.
Otro de los comportamientos que hemos observado es que estos grupos adoptan prácticas para respaldar sus negocios. Una de ellas es cambiar “su marca” para evitar ser identificados por las autoridades. También, actualizan con frecuencia sus herramientas de exfiltración. Como si se tratara de una empresa de software, las organizaciones dedicadas al ransomware, implementan mejoras en comparación con sus rivales, hacen updates periódicos de sus sistemas y llevan a cabo reparaciones de su infraestructura. Una de las que mejor refleja esta situación es Lockbit, que ha presentado una evolución importante realizando las acciones antes mencionadas y lanzando StealBIT, una solución personalizada que permite la exfiltración de datos a velocidades nunca antes vistas.
La última tendencia que quiero destacar es la que surgió en referencia al conflicto en Ucrania, pues
observamos que varios de los grupos de ransomware tomaron partido hacia una u otra nación, generando ataques motivados por la perspectiva política. Uno de los programas maliciosos que se descubrió recientemente es Freeud y que, en lugar de cifrar una lista de archivos, la borra.
Este año, a diferencia de lo que observamos en 2021, cuando se registró el surgimiento de actores del ransomware, nuestros especialistas resaltan un apogeo en este tipo de organizaciones. Mientras los atacantes van sofisticando sus técnicas, es imprescindible que las empresas prioricen su seguridad, identifiquen las tendencias de ataque y se apoyen de los informes de inteligencia para desarrollar una estrategia de ciberseguridad proactiva. Aunado a esto, recomendamos siempre capacitar a los empleados, pues son ellos el primer objetivo de los cibercriminales.