Blog B-SECURE

Ransomware, la amenaza más temida (1/2)

por B-SECURE, el 12-oct-2023 17:11:05

  1. ¿Qué es el Ransomware?
  2. ¿Cómo funciona el Ransomware?
  3. Detalles del ecosistema de pago
  4. Grupos relevantes y sus objetivos
  5. Ransomware as a Service

No hay amenaza más temida por estos días que el Ransomware. Se ha vuelto tan frecuente en los últimos años que ya no se trata de "si" su empresa puede ser víctima de un ataque de este tipo, sino de "cuándo". De hecho, en 2021, el 37% de las organizaciones globales informaron haber sido víctimas de un ataque de ransomware y la cifra en 2022 subió a alrededor del 66% de acuerdo a analistas.

¿Qué es el Ransomware?

El ransomware es un modelo de negocio delictivo que utiliza software malicioso para retener archivos, datos o información valiosos y pedir un rescate. Las operaciones de las víctimas de un ataque de ransomware pueden verse gravemente degradadas o cerradas por completo.

Si bien tener algo de valor a cambio de un rescate no es un concepto nuevo, el ransomware se ha convertido en un negocio criminal multimillonario, dirigido tanto a individuos como a corporaciones. Debido a su baja barrera de entrada y su eficacia a la hora de generar ingresos, ha desplazado rápidamente a otros modelos de negocio de ciberdelincuencia y se ha convertido en la mayor amenaza a la que se enfrentan las organizaciones en la actualidad.

Ransomware

En los primeros días del ransomware, los cibercriminales simplemente exigían un rescate después de cifrar archivos en el sistema de una víctima. Luego, en 2020 se produjo un aumento de la doble extorsión, con grupos de ransomware que aplicaron presión adicional al amenazar con publicar datos extraídos de los sistemas de las víctimas en sitios de fuga de datos. De acuerdo con el 2023 Unit 42 Ransomware Extortion Report de Palo Alto Networks, a finales de 2022, los actores de amenazas participaron en el robo de datos en aproximadamente el 70% de los casos.

Algunos grupos, sintiendo la necesidad de aplicar presión adicional, también desarrollaron tácticas de extorsión terciaria, en algunos casos intentando (o amenazando) con una mayor interrupción de las operaciones de las víctimas lanzando ataques de denegación de servicio distribuido (DDoS) contra ellas.

Más recientemente, se ha visto que los grupos de ransomware han amenazado con destruir los datos de las víctimas en lugar de cifrarlos. De igual forma, han incluido el acoso dentro de sus tácticas de extorsión. Se dirigen a personas específicas de la organización, a menudo en la alta dirección, con amenazas y comunicaciones no deseadas. A finales de 2022, el acoso era un factor en aproximadamente el 20% de los casos de ransomware. Estas nuevas tácticas evidencian que los enfoques de estos grupos hacia la extorsión también continúan evolucionando.

¿Cómo funciona el ransomware?

Los atacantes deben ejecutar cinco pasos para que un ataque de ransomware tenga éxito.

1. Comprometer y tomar el control de un sistema o dispositivo

La mayoría de los ataques de ransomware comienzan utilizando ingeniería social para engañar a los usuarios para que abran un archivo adjunto o sigan un enlace malicioso en su navegador web. Esto permite a los atacantes instalar malware en un sistema y tomar el control.

Originalmente, el phishing era la principal táctica que empleaban los atacantes para el acceso inicial a un sistema en el que esperaban implementar ransomware. Más recientemente, los puertos RDP expuestos y el uso de credenciales filtradas se han convertido en otros vectores de ataque comunes.

2. Impedir el acceso al sistema

Una vez que tienen acceso al sistema, los atacantes identificarán y cifrarán ciertos tipos de archivos o negarán el acceso a todo el sistema. Algunos tipos de ransomware son:

  • Ransomware de cifrado: malware que aprovecha el cifrado para bloquear el acceso a los activos de datos de la víctima.
  • Locker ransomware: malware que invade las computadoras, servidores u otros dispositivos del usuario y bloquea todos los activos.
  • Master boot record ransomware: malware que sobrescribe el Master Boot Record (un registro que muestra a su computador dónde ubicar el sistema operativo), por lo que los usuarios no pueden iniciarlo y obtener acceso a los archivos.

3. Notificar a la víctima y negociación

Naturalmente, los atacantes y las víctimas suelen hablar idiomas diferentes y tienen distintos niveles de capacidades técnicas. Los atacantes deben alertar a las víctimas sobre el compromiso, indicar su demanda de rescate y explicar los pasos para recuperar el acceso.

4. Pago del rescate

Para recibir el pago y al mismo tiempo evadir la aplicación de la ley, los atacantes exigen criptomonedas, como bitcoin, para la transacción. Si la víctima decide pagar y aún no tiene activos de criptomonedas almacenados, debe obtenerlos para el rescate. Muchas víctimas optan por trabajar con una empresa especializada en respuesta a incidentes de ransomware, quienes se encargan de hacer los pagos. La víctima, o la organización que paga en su nombre, dirige el pago del rescate a una billetera propiedad de los actores del ransomware. Una vez que se reciben los fondos, el rescate generalmente se distribuye a varias billeteras en poder de los actores del ransomware y/o sus afiliados.

5. Devolver el acceso completo

Los atacantes deben devolver el acceso a los dispositivos. No restablecer el acceso a los datos o sistemas comprometidos socava el plan, ya que pocos estarían dispuestos a pagar un rescate si no creyeran que sus objetos de valor serían devueltos. Sin embargo, se reportan muchos casos de organizaciones que no logran el acceso posterior a un pago.

¿En qué consiste el ecosistema de pago?

Para mitigar la amenaza del ransomware es fundamental desarrollar una comprensión de los actores, las partes interesadas, los procesos y la información producidos durante el proceso de pago del ransomware.

En términos generales, el proceso de ataque y pago de ransomware sigue seis pasos o fases: 1) ataque; 2) negociación de rescate; 3) pago de rescate; 4) ofuscación de fondos; 5) retiro de efectivo; y 6) reinversión. Como ya hemos hablado sobre los pasos 1 al 3, a continuación, abordaremos lo que sucede a partir del 4 paso.

Una vez se reciben el pago, los actores del ransomware, con la ayuda de terceros blanqueadores de dinero, trabajan para ofuscar y lavar los fondos del rescate y, en ocasiones, retirarlos. El proceso de blanqueo es complejo e incluye innumerables opciones. Los actores de ransomware emplean mixers para intentar ofuscar los fondos. Los mixers son software o servicios de terceros que mezclan sus fondos de criptomonedas con los fondos de otros usuarios para reducir el seguimiento de las transacciones. Estos ofrecen a los usuarios un anonimato que puede ser esencial para quienes viven bajo regímenes opresivos, pero también abren la puerta a actividades delictivas.

pago-ransomware

Los actores del ransomware también emplean servicios comerciales, exchanges centralizados y de alto riesgo, mercados de dark web e exchanges peer-to-peer pares para lavar fondos ilícitos. A menudo, los actores utilizan varios de estos métodos de forma simultánea o secuencial para lograr el mayor anonimato posible. También pueden usar los fondos para realizar compras en mercados de la dark web o a través de servicios comerciales.

En este punto, los actores del ransomware cobran sus activos digitales de diferentes maneras. Pueden conservar activos de criptomonedas o pueden intercambiar criptomonedas por moneda fiduciaria utilizando negocios de criptomonedas regulados, no regulados o que no cumplen con las normas. Generalmente, los actores utilizan estos recursos para pagar a miembros de su equipo o afiliados y reinvertir en herramientas, técnicas y procedimientos (TTP), así como en infraestructura para facilitar futuros ataques de ransomware. A veces, los actores del ransomware utilizan métodos alternativos de retiro de efectivo, como apostar fondos, un concepto similar a una cuenta de ahorros de alto rendimiento, donde los activos de criptomonedas se bloquean durante un período de tiempo determinado a cambio de intereses en forma de criptomonedas adicionales. Otros métodos incluyen el lavado de dinero basado en el comercio y la compra de activos que mantienen valor, como los bienes raíces o el oro.

El mapa completo de las relaciones del ecosistema puede verlo en Mapping the Ransomware Payment Ecosystem: A Comprehensive Visualization of the Process and Participants del The Institute for Security and Technology.

 

Grupos relevantes y sus objetivos

Los actores de amenazas interesados en la extorsión suelen ser oportunistas y apuntan a cualquier organización que creen que pagará. Debido a que algunos delincuentes brindan servicios a otros actores de amenazas, puede resultar difícil discernir el comportamiento de bandas en particular. En parte debido a esto, la extorsión puede afectar a organizaciones grandes y pequeñas en diversas industrias y regiones.

Sin embargo, muchos grupos se centran en organizaciones rentables, una práctica a veces conocida como “big-game hunting”. Las grandes organizaciones multinacionales a menudo tienen los medios para pagar mayores sumas de dinero y tienen la motivación para pagar para evitar la interrupción de las operaciones comerciales. Aunque estas organizaciones pueden estar mejor preparadas para resistir los ciberataques diarios, aún pueden ser vulnerables a la extorsión. Por ejemplo, las subsidiarias menos protegidas, las oficinas satélites o los trabajadores remotos podrían verse afectados por el ransomware en un intento de moverse lateralmente para acceder a las joyas de la corona de una organización.

ransomware-secuestro-de-datos_4_1000x563

Los ataques a las organizaciones más grandes del mundo representan un porcentaje pequeño pero notable de estos incidentes. En 2022, 30 organizaciones de la lista Forbes Global 2000 se vieron afectadas públicamente por intentos de extorsión por parte de grupos como LockBit, Conti, BlackCat, Hive y Black Basta. Desde 2019, al menos 96 de estas organizaciones han tenido archivos confidenciales expuestos públicamente hasta cierto punto como parte de un intento de extorsión.

  • Lockbit es un grupo de ransomware bien establecido que opera como una organización criminal bien engrasada. Con la asombrosa cifra de 1.716 víctimas públicas a su nombre, LockBit ha tenido un promedio de más de una empresa por día desde su formación inicial. Emplean herramientas y tácticas sofisticadas para violar redes y cifrar datos de manera eficiente. Lockbit exige con frecuencia rescates sustanciales a sus víctimas, centrándose en industrias con datos críticos, como la manufactura y la tecnología.

  • Blackcat es un grupo de ransomware relativamente nuevo pero que evoluciona rápidamente. Han llamado la atención por su capacidad para explotar vulnerabilidades de día cero y estar un paso por delante de las medidas de seguridad. Se dirige principalmente a instituciones financieras y establecimientos educativos, causando perturbaciones y pérdidas financieras importantes.

  • AlphV surgió en noviembre de 2021 como un ransomware como servicio. Según algunos investigadores, es el sucesor de los ransomware Blackmatter y Darkside. Ha ganado notoriedad por sus técnicas sofisticadas y sus ataques altamente dirigidos. Este grupo emplea algoritmos de cifrado avanzados, lo que hace que recuperar datos sin pagar el rescate sea extremadamente difícil. Se centra en objetivos de alto perfil, como grandes corporaciones y agencias gubernamentales, con el objetivo de maximizar sus pagos.

  • Black Basta apareció en abril de 2022 y habría violado más de 90 organizaciones para septiembre del mismo año. La rapidez y el volumen de los ataques demuestran que los actores detrás de Black Basta están bien organizados y cuentan con buenos recursos. Este grupo suele utilizar técnicas de ingeniería social para obtener acceso inicial a los sistemas de sus víctimas. Una vez dentro, implementan su ransomware para cifrar datos críticos y exigen rescates exorbitantes. Black Basta se dirige a una amplia gama de organizaciones, desde pequeñas empresas hasta instituciones sanitarias.

  • Hive es conocido por su enfoque organizado y metódico ante los ataques de ransomware. Este grupo opera como Ransomware-as-a-Service (RaaS), lo que permite a otros actores de amenazas comprar e implementar su ransomware. Esto ha llevado a una proliferación de ataques de Hive en diversas industrias y sectores.

Ransomware as a Service

El ransomware como servicio (RaaS) ha sido una tendencia creciente en los últimos años, que permite a cualquier persona con conexión a Internet convertirse en hacker. En el pasado, lanzar un ataque de ransomware requería un alto nivel de experiencia técnica, pero RaaS ha reducido la barrera de entrada, facilitando que cualquiera pueda lanzar un ataque de ransomware.

RaaS es un tipo de servicio de cibercrimen que permite a individuos o grupos comprar acceso a herramientas e infraestructura de ransomware prediseñadas. Con RaaS, los usuarios pueden personalizar el ransomware para sus objetivos específicos e implementarlo a través de diversos medios, como correos electrónicos de phishing o sitios web comprometidos.

El proveedor de RaaS desarrolla y mantiene el software ransomware y la infraestructura necesaria para implementar el malware, como servidores de comando y control. El proveedor de RaaS ofrece acceso al ransomware a cualquiera que esté dispuesto a pagar una tarifa, a menudo en forma de porcentaje de las ganancias generadas por los ataques de ransomware.

Una vez que se implementa el ransomware, el atacante puede sentarse y esperar a que las víctimas paguen el rescate. Los proveedores de RaaS suelen ofrecer soporte y actualizaciones de ransomware, lo que garantiza que siga siendo eficaz a lo largo del tiempo.

El auge de RaaS ha tenido varias implicaciones para las organizaciones:

  • Ha facilitado a los ciberdelincuentes el lanzamiento de ataques de ransomware. Los ataques de ransomware se han convertido en un problema importante tanto para empresas como para individuos, causando importantes pérdidas financieras y daños a la reputación.
  • RaaS ha facilitado que personas sin conocimientos técnicos se involucren en delitos cibernéticos. Con RaaS, cualquiera puede convertirse en hacker, incluso con habilidades técnicas limitadas.
  • RaaS ha provocado un aumento en el número de variantes de ransomware. Con RaaS, los ciberdelincuentes pueden crear rápida y fácilmente nuevas variantes de ransomware, lo que dificulta que las soluciones de seguridad se mantengan al día.

El uso de RaaS se ha evidenciado en incidentes recientes como el de MGM. Si bien no se han confirmado los culpables del ataque, se sospecha que el atacante es el grupo de hackers Scattered Spider, que también está asociado con los grupos UNC3944 Scatter Swine, Oktapus y Muddled Libra. En este notable ataque se hizo uso del ransomware creado por ALPHV o BlackCat, lo que sugiere que el modelo es exitoso y permite a grupos de amenazas como UNC3944 expandirse.

Leer segunda parte

Suscríbase al boletín y reciba en su correo nuestras entradas de blog, información de interés de la industria, consejos de seguridad, invitaciones a eventos y diferentes herramientas.

Entradas recientes

Entradas por tema

Ver todos

Archivo

Ver todos

CONTACTO

Portal de Servicio

Trabaje con nosotros

PQR

 

 

LOGO 27001  LOGO SGS 16

Logo First

 

Suscríbase al Boletín

RECURSOS

Blog

NOSOTROS

¿Quiénes somos?

Socios de negocio

Sistemas de Gestión

Política de Datos Personales

Síganos en nuestras redes sociales

B-SECURE © 2022. Todos los derechos reservados. B-SECURE es una marca de Softweb Asesores S.A.S.