Por Alejandro Botter, Security Engineering Manager, Región Sur de América Latina, de Check Point Software.
Según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, el ransomware es la amenaza más inmediata para las empresas de todo el mundo. Atrás quedaron los días en que los autores de ransomware apuntaban a una sola máquina e intentaban extorsionar a un usuario robando sus datos. La amenaza del ransomware actual es organizada y sofisticada, con tecnología que se ha democratizado hasta el punto de que el ransomware se ha convertido en su propia economía.
Algunos operadores de ransomware jugarán un juego de números y se dirigirán a los MSP (proveedores de servicios administrados) con ataques a la cadena de suministro de software que afectarán a miles de empresas. Otros, como los grupos APT (amenaza persistente avanzada), perseguirán objetivos específicos para desestabilizar gobiernos o aprovechar datos de alto valor para extorsionar a millones.
El año pasado en los EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) observó incidentes de ransomware que afectaron a 14 de los 16 sectores de infraestructura crítica de los Estados Unidos, incluidos defensa, alimentación y agricultura, instalaciones gubernamentales e incluso los servicios de emergencia. El Centro de Seguridad Cibernética de Australia (ACSC) informó recientemente que los operadores de ransomware atacan continuamente su infraestructura crítica, llegando incluso a publicar una declaración conjunta con los EE. UU. y el Reino Unido para advertir sobre la creciente amenaza del ransomware tanto para las entidades gubernamentales como para las empresas privadas.
Esto concuerda con los hallazgos que publicamos en nuestro Informe de seguridad de 2022. Revelamos un aumento interanual del 50 % en los ataques cibernéticos en 2021, con 1 de cada 61 organizaciones en todo el mundo afectadas por ransomware cada semana. El sector gubernamental/militar experimentó un aumento del 47 % en la cantidad de ataques semanales, el sector de las comunicaciones experimentó un aumento del 51 %, pero el sector de la educación/investigación sufrió el mayor aumento con un 75 %, con un promedio de 1.605 ataques cibernéticos por semana durante todo el año.
En el caso de Argentina, tomando los datos de los últimos 6 meses, encontramos que una organización está siendo atacada en promedio 1.711 veces por semana y el sector más afectado es el Gobierno/Militar. Este fuerte aumento podría atribuirse, al menos en parte, a la mayor vulnerabilidad de las organizaciones a medida que avanzan hacia modelos de trabajo híbridos en respuesta a la pandemia. Pero un culpable más probable es la creciente economía de Ransomware-as-a-Service (RaaS), en la que los grupos de ransomware y sus afiliados empaquetan y venden efectivamente ransomware listo para usar a «clientes» que luego organizan el ataque. Estos operadores de ransomware de primer nivel no solo ofrecen ransomware en sí, sino que a menudo ofrecen servicios de lavado de dinero, especialistas en negociación e incluso manuales detallados para acompañarlo, como lo demuestra el «cookbook» de Conti recientemente filtrado. Esta democratización del ciberdelito creó toda una subindustria de ransomware, en la que la competencia impulsa la innovación como lo haría en cualquier sector legítimo.
Sin embargo, gracias a los esfuerzos de los investigadores y los especialistas en seguridad, así como a los gobiernos de todo el mundo que ahora fortalecen su postura de seguridad y adoptan un enfoque más proactivo, ahora comienzan a aparecer grietas en el ecosistema de ransomware.
¿Fue el ataque a Colonial Pipeline el punto de inflexión?
Una de las características distintivas de los ataques de ransomware modernos es el daño generalizado que pueden causar en el mundo real, desde paralizar el Servicio Nacional de Salud del Reino Unido hasta llevar al caos al Departamento de Seguridad Nacional de EE. UU. Pero nunca se resaltaron tan claramente las consecuencias en el mundo real de un ataque exitoso de ransomware como el ataque a Colonial Pipeline en 2021. Colonial Pipeline, uno de los operadores de oleoductos más grandes de los EE. UU., suministra aproximadamente el 45 % del combustible de toda la costa este. Mantiene calefaccionados los hogares y los negocios, abastece de combustible automóviles, jets e incluso equipos militares. Los operadores del ransomware DarkSide se aprovecharon de una supuesta vulnerabilidad sin parchear en el sistema de Colonial Pipeline, lo que obligó a la empresa a desconectar ciertos sistemas para contener la amenaza. El costo del combustible se disparó, se produjeron compras de pánico y podría haber generado una grave afectación en el sector militar y la aviación si la situación no se hubiera remediado una semana después.
Este ataque pareció ser la gota que rebalsó el vaso para la administración de Biden, que anunció poco después del incidente que se sancionarían los intercambios de criptomonedas como SUEX, con sede en Rusia, lo que dificultaría que los actores de ransomware se beneficiaran de sus ataques. Este parecía ser el primero de una serie de eventos que finalmente llevaron a la formación de grietas en el ecosistema de ransomware y prueba, si es que se necesitaba alguna, de que adoptar un enfoque proactivo en lugar de uno correctivo es la forma más efectiva de combatir el ciberdelito.
En los EE. UU., el ransomware ahora es considerado por el Departamento de Justicia como una amenaza para la seguridad nacional. La Unión Europea y otros 31 países de todo el mundo también se unieron a EE. UU. para sancionar los intercambios de criptomonedas para interrumpir las actividades de los operadores de ransomware. En Australia, se ha establecido un nuevo «Plan de acción de ransomware», que brinda a las organizaciones e instituciones gubernamentales un mayor poder y capacidades para abordar el ransomware de frente. Estos movimientos son indicativos de cuánto cambiaron las posturas de seguridad de los gobiernos de todo el mundo de reactivas a proactivas, y las organizaciones harían bien en seguir su ejemplo.
Agitación en el ecosistema del ransomware
Los operadores de ransomware se sientan a la «cabeza» del ecosistema de ransomware y, al igual que para cualquier proveedor de servicios, la reputación es importante. Los grupos de RaaS necesitan atraer afiliados o clientes para hacer crecer su red y aumentar sus ingresos, por lo que cualquier interrupción infligida a estos grupos puede tener consecuencias nefastas e incluso volver a la industria contra sí misma.
Como se revela en nuestro informe, un mes después del ataque a Colonial Pipeline, el grupo DarkSide, responsable del RaaS, anunció que cerraría después de que sus servidores fueron incautados y sus fondos criptográficos fueron robados. Esto tuvo un impacto en cadena en su capacidad de pagar a sus afiliados de RaaS. El grupo REvil, responsable de la violación de Kaseya MSP en julio de 2021, también desapareció más tarde ese año después de que una operación policial secuestró con éxito su infraestructura y su blog, lo que le dio al grupo una muestra de su propia medicina. El Departamento de Justicia fue aún más lejos, arrestó a miembros del grupo REvil y confiscó más de $6 millones en dinero de rescate.
Pero, ¿qué significa esto para el ecosistema de ransomware?
Algunos grupos perpetradores ahora presionan más a sus víctimas para mantener alejadas a las autoridades durante los ataques de ransomware. El grupo de ransomware Grief, por ejemplo, amenazó con eliminar por completo las claves de descifrado de sus víctimas si contrataban a negociadores profesionales, algo que antes podrían haber recibido como una forma de extorsionar dinero. Más allá de eso, la orientación proactiva de los operadores de ransomware llevó a una oleada de operadores y afiliados a abandonar la arena o separarse unos de otros y «cambiar de marca» para distanciarse de cualquier acusación o incautación. Después del cierre de DarkSide, por ejemplo, varios miembros formaron un grupo disidente llamado BlackMatter, pero también fue presionado por las autoridades y cerró antes de que terminara el año.
Esta interrupción del ecosistema de ransomware no es única, sino el resultado de una mayor presión de las agencias gubernamentales de todo el mundo para frenar lo que se está convirtiendo rápidamente en una amenaza global. Sin embargo, las organizaciones no deberían sentirse demasiado cómodas.
Aún no está fuera de peligro
Si bien 2021 asestó un golpe significativo al ecosistema de ransomware, es probable que todavía veamos millones de ataques de ransomware a lo largo de 2022, con operadores y afiliados nuevos y existentes que intensifican sus esfuerzos de ataque. Emotet, una de las botnets más peligrosas de la historia, regresó a fines de 2021, a pesar de un esfuerzo coordinado de los gobiernos de todo el mundo para eliminarlo. Este troyano bancario convertido en botnet modular ha infectado 1,5 millones de computadoras en todo el mundo a través de miles de redes corporativas, a menudo utilizado como mecanismo de entrega para ataques de ransomware en toda la red.
En latinoamérica pudimos ver como en mayo de este año el grupo de ransomware Conti impactó gravemente al gobierno de Costa Rica con un ataque cibernético y solicitando un rescate de US$ 20 millones para obtener una clave de descifrado para desbloquear los sistemas afectados.
Conti ha llevado el delito cibernético a un nuevo nivel geopolítico, buscando intervenir en asuntos internos de un país soberano y en la relación con países extranjeros. Este evento movió a las bandas de ransomware a una nueva fase de extorsión a nivel país. Costa Rica declaró el estado de emergencia tras el ataque de ransomware, el cual afectó a muchas organizaciones gubernamentales, incluidas Ministerio de Hacienda, Caja Costarricense del Seguro Social y El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones. Se estima que se perdieron 200 millones de dólares debido a interrupciones relacionadas con las plataformas tributarias y aduaneras.
Por lo tanto, las organizaciones deben permanecer alerta y, al igual que los gobiernos de todo el mundo, adoptar una postura más proactiva y preventiva para hacer frente a la creciente amenaza del ransomware. Eso significa aprovechar la inteligencia de amenazas globales en tiempo real, como la que ofrece ThreatCloud de Check Point, y tomar medidas para proteger su negocio no solo de las amenazas que puede ver, sino también de las que no puede ver. Las vulnerabilidades de día cero y los ataques de quinta generación (Gen V) son amenazas sofisticadas que requieren una respuesta sofisticada, así como capacitación de concientización de los empleados, copias de seguridad continuas, autenticación de múltiples factores y empleo del principio de privilegio mínimo.
Las grietas en el ecosistema del ransomware pueden estar comenzando a mostrarse, pero si bien los golpes recibidos recientemente indican que los actores del ransomware podrían estar perdiendo la batalla, la guerra cibernética está lejos de terminar.
