Buscar

Tenable Research revela que los kits de ransomware “hágalo usted mismo” han creado un ambiente propicio para la industria del cibercrimen

  • La industria autosustentable del ransomware obtuvo USD 692 millones provenientes de ataques colectivos en 2020
  • En el primer trimestre de 2022, México fue el país con mayor actividad de ransomware en Latinoamérica

Ciudad de México a 12 de julio de 2022.- El cambio a la economía de suscripciones ha generado una nueva norma en el «mundo como servicio». No es solo Netflix y Spotify han adoptado este modelo de negocios. Las nuevas investigaciones de Tenable®, la compañía de Cyber Exposure, descubrieron que una de las principales razones por las que el ransomware ha prosperado, es debido a la llegada del Ransomware as a Service (RaaS). El RaaS ha catapultado al ransomware, que ha pasado de ser una amenaza incipiente a un mal que debe ser considerado constantemente. El modelo de servicio ha reducido significativamente la complejidad del acceso a ransomware, lo que permite a los cibercriminales que carecen de conocimientos técnicos utilizarlo en sus ataques.

Los grupos de ransomware funcionan como start-ups de Silicon Valley

Tan solo en 2020, los grupos delictivos que utilizan ransomware habrían obtenido USD 692 millones con sus ataques colectivos, un aumento del 380 % con respecto a los seis años anteriores combinados (USD 144 millones de 2013 a 2019). El éxito del RaaS también ha atraído a otros maleantes, como los propagadores e intermediarios de acceso inicial (IAB), que juegan papeles destacados dentro del ecosistema de ransomware, a menudo más que los propios grupos de ransomware.

«El ransomware se ha convertido en su propia industria autosostenible, que funciona como las empresas tradicionales, con un increíble modelo de negocio que implica a múltiples actores, estrategias de marketing y servicio al cliente», dijo Satnam Narang, ingeniero de investigación senior.

La investigación descubrió que el dominio actual del ransomware está directamente relacionado con la aparición de una técnica conocida como «doble extorsión». La táctica, iniciada por el grupo de ransomware Maze, consiste en robar datos confidenciales de las víctimas y amenazar con publicar estos archivos en sitios web donde se filtra información de este tipo, al mismo tiempo que cifran los datos para que la víctima no pueda acceder a ellos. Los grupos de ransomware han añadido recientemente otras técnicas de extorsión a su repertorio, incluyendo el lanzamiento de ataques DDoS, contactar a los clientes de sus víctimas o ofrecer millones a empleados para obtener el acceso, lo que dificulta el trabajo de los defensores. Estas tácticas forman parte del arsenal de las bandas de ransomware como forma de ejercer una presión adicional sobre las organizaciones víctimas.


«Con RaaS y la doble extorsión, se ha abierto la caja de Pandora, y los atacantes están encontrando agujeros en nuestras defensas actuales y sacando provecho de ellos», añadió Satnam Narang.

«En el primer trimestre de 2022, México fue el país con mayor actividad de ransomware en Latinoamérica. La visibilidad y el control del estado de la seguridad y la postura de riesgo es más relevante que nunca para minimizar el riesgo ante las crecientes amenazas que no discriminan los activos que tenemos conectados en las organizaciones» Carlos Bortoni, Country Manager, Tenable México. 

Un ecosistema: Actores, técnicas y tácticas

El informe desmitifica el ecosistema del ransomware explorando los principales actores involucrados, así como las técnicas y tácticas utilizadas por los operadores de ransomware y sus afiliados para infiltrarse en las organizaciones y distribuir las cargas útiles del ransomware.

Los propagadores son los conductores responsables de impulsar los ataques de ransomware: traen los leads, encuentran e infectan a las víctimas y las traen a los grupos de ransomware para «cerrar el trato». A cambio, ganan entre 70 % y 90 % del pago del ransomware. Los afiliados están multiplicando los esfuerzos de un «negocio» en auge y los grupos de ransomware no podrían hacerlo más fácil: hasta ofrecen un manual con recomendaciones sobre cómo vulnerar las organizaciones.  En algunos casos, los afiliados también pueden trabajar con IABs, que son individuos o grupos que ya han obtenido acceso a las redes y venden el acceso al mejor postor. Sus tarifas oscilan, por término medio, entre los 303 dólares por el acceso al panel de control y los 9.874 dólares por el acceso al RDP.

«Mientras que los grupos de ransomware obtienen la mayor notoriedad y atención por los ataques, estos grupos van y vienen. A pesar de la rotación, los propagadores y los IAB siguen siendo elementos destacados en este espacio y debería prestarse más atención a estos dos grupos en el ecosistema en general», añadió Narang

Los ataques de ransomware persistirán; así es como hay que defenderse de ellos

El informe proporciona 10 tácticas defensivas sencillas que las organizaciones pueden adoptar para montar la mejor defensa contra los ataques de ransomware. Algunas de ellas son:

  • Utilizar la autenticación multifactor para todas las cuentas de su organización: Los grupos de ransomware compran el acceso a las organizaciones a través de los IAB que proporcionan credenciales o explotan vulnerabilidades que revelan las credenciales de inicio de sesión. Al añadir la autenticación multifactor como requisito, se añade otra capa adicional que los atacantes de ransomware tienen que superar.
  • Requerir el uso de contraseñas fuertes para las cuentas: El uso de contraseñas débiles o predeterminadas facilita a los grupos de ransomware el acceso a las cuentas. Dificulta a los atacantes la entrada por fuerza bruta asegurándose de que los requisitos de las contraseñas incluyan palabras largas y sin diccionario, así como marcando las contraseñas que ya han sido expuestas como parte de una violación de datos.
  • Identificar y aplicar parches a los activos vulnerables de su red en el momento oportuno: Sabemos que los grupos de ransomware son expertos en aprovechar las vulnerabilidades conocidas sin parches, por lo que es importante que las organizaciones identifiquen los activos vulnerables dentro de sus redes y apliquen los parches disponibles.
  • Concientizar a empleados sobre seguridad y vectores de ataque más comunes: Los ataques de ingeniería social, incluido el spearphishing a través del correo electrónico o de las redes sociales, son otra forma en que los ciberdelincuentes introducen el malware en los sistemas de su red. Mediante la formación de concienciación de los usuarios, sus empleados y personal pueden ayudar a orientar sobre cómo identificar los vectores de ataque más comunes utilizados por los ciberdelincuentes, lo que desempeñará un papel importante en la protección de sus redes.

«Mientras el ecosistema del ransomware siga prosperando, también lo harán los ataques contra organizaciones y gobiernos. Es imperativo que estas entidades se preparen con antelación para estar en la mejor posición posible para defenderse y responder a los ataques de ransomware», finaliza Satnam.