¡El ransomware sigue siendo el rey del baile!
A principio de este año, predijimos en base al panorama global y al crecimiento de los ataques; que el ransomware “seguiría siendo el rey del baile”.
Hasta ahora, el ransomware es la gran pesadilla de los responsables de ciberseguridad en la actualidad.
Aunque existieron troyanos de cifrado, no es sino en 2013 cuando vimos la llegada del malware llamado CryptoLocker, el cual cifra archivos de los discos y/o medios de almacenamiento y exige el pago de un rescate para obtener la clave, para recuperarlos.
CryptoLocker, marca la consolidación de una técnica de extorsión que ya llevaba experimentándose desde los años ochenta cuando el troyano AIDS (1989), también conocido como “PC Cyborg” y desarrollado por el Dr. Joseph Popp, un biólogo evolucionista.
Este ancestro del ransomware actual no era nada sofisticado y era fácil de derrotar. Para llegar a las víctimas se entregaba a través de disquetes, no existía el puerto USB y el Internet aun no salía de las universidades. Fue usado por primera vez en la conferencia WHO AIDS en Montreal donde se inicio la distribucion de mas de 20 mil copias en total.
Con la proliferación de Internet, los fabricantes de ransomware han visto la oportunidad de convertir la técnica en un negocio de proporciones atómicas.
El ransomware no ha dejado de evolucionar. Hoy día vemos bandas dedicadas exclusivamente a esta técnica, incluido la técnica misma como un servicio y pasamos de la difusión masiva, a las campañas dirigidas, con software más complejo, capaz de difundirse automáticamente a través de los recursos de la infraestructura y la capacidad de secuestrar el total de las operaciones de la víctima.
En los albores del ransomware las copias de seguridad eran la medicina paliativa para superar los ataques, así que nos enfocamos en garantizar la integridad de los activos para reducir el impacto de los ataques. Lo que desconocíamos es que la pesadilla del ransomware apenas gateaba, lo peor aún estaba por llegar.
Hemos sido testigos de cómo los ciberdelincuentes empezaron a desarrollar malware capaz de comprometer la integridad de las copias de seguridad. Si bien se han hecho esfuerzos para proteger estos activos, no tardó en llegar el más efectivo de los golpes: la exfiltración.
Los ciberdelincuentes concluyeron que robar los activos antes de encriptarlos, encriptar luego, pedir el rescate y aplicar extorciones era un plan maestro. No tardaron en darse cuenta que amenazar con la difusión de los datos exfiltrados podía ser más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad.
La exfiltración de datos ha hecho que el ransomware sea increíblemente rentable, tanto así que se estima que genera más de 6 trillones de dólares anualmente y en consecuencia ha provocado la proliferación de nuevos operadores, deseosos de sacar partido de esta técnica combinada[1]. El ransomware se ha multiplicado por diez en el último año, según lo detalla un informe de la empresa Fortinet[2].
El negocio empieza un proceso de diversificación preocupante, algunos operadores de ransomware ha dado un giro en su estrategia de ataques iniciados a través del correo electrónico, y comienzan a centrarse en la obtención y venta de acceso inicial a redes corporativas.
En otras palabras, se cimienta el proceso continuo de evolución del ransomware como servicio (RaaS), lo que permite concluir que continuará siendo un gran desafío en el futuro próximo y demandará que las organizaciones de todos los tamaños elijan protecciones confiables y tomen medidas de prevención.
Por cierto, si sirve de algo… en el ajedrez la mejor defensa es el ataque…
[1] https://marvin-soto.medium.com/ransomware-triple-extorci%C3%B3n-db46c811eff2
[2] https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/report-2021-threat%20landscape.pdf
