This post is also available in: Português Español
Esta actividad a pasado por transformaciones que han aumentado sus lucros, competencia y letalidad de sus ataques.
En diciembre del año pasado, el mercado de ransomware ganó el primer lugar en obtener dinero procedente de crímenes cibernéticos. Basándose en el análisis de más de 500 ataques observados por el Grupo IB y actividad de inteligencia contra amenazas virtuales, los investigadores creen que el número de ataques de ransomware creció más de un 150% en el 2020.
Durante este período, los ataques de ransomware causaron, en promedio, 18 días de inactividad a las empresas afectadas, mientras el valor promedio del rescate casi llegó al doble. Uno de los motivos para ese aumento fue la pandemia.
Se sabe que el COVID-19 dejó a muchas empresas vulnerables de diversas maneras, incluyendo todo lo que se refiere a amenazas cibernéticas, de esas el ransomware fue el que más se capitalizó. Los ataques no solo aumentaron en frecuencia, también en escala y sofisticación. La demanda promedio de rescate llegó a los US$ 170 mil en el 2020.
Esos ransomwares hicieron que los servidores RDP dirigidos al público fueran las víctimas más comunes de muchos grupos de crackers. Con miles trabajando en home office, el número de esos servidores creció exponencialmente. En el 52% de los ataques, servidores RDP abiertos al público fueron usados para obtener acceso inicial, y el phishing (29%) en segundo lugar.
Robando a los ricos
Big Game Hunting es una modalidad de ataque de ransomware dirigido a empresas de altísima rentabilidad. Con la esperanza de garantizar obtener el mayor rescate posible, los ataques a esas compañías fueron muchísimos.
Grupos como Lazarus y APT27 comenzaron a aventurarse en tal actividad. Conti, Egregor y DarkSide hicieron lo mismo. Muchos de ellos fueron tan prolíferos que llegaron al top de bandas criminales más activas en su primer año de constitución. Las 5 familias de ransomware más activas, de acuerdo con el Group-IB, fueron Maze, Conti, Egregor, DoppelPaymer y REvil. Con todo, por diferentes motivos, no todos duraron mucho tiempo.
Tanto éxito acabó colocandolos en el centro de atención de las autoridades. Algunas bandas que operan bajo el modelo Ransomware-as-a-Service (RaaS), como Egregor y Netwalker, se vieron afectadas por operaciones policiales. Otro colectivo notorio de tipo RaaS, Maze, terminó sus actividades al final del 2020. A pesar de esos contratiempos, el negocio del ransomware continúa prosperando, con el modelo RaaS como una de las fuerzas motrices por detrás de todo ese crecimiento.
No es difícil entender el porqué: Ransomware-as-a-Service envuelve desarrolladores, que venden o alquilan sus malwares a sus afiliados, lo que a su vez lleva a un mayor comprometimiento de la red e implantación de ransomware. Las ganancias son compartidas entre las operadoras y aliados del programa, y los investigadores observaran que el 64% de los ataques de ransomware en el 2020 procedían de operadores usando el modelo RaaS.
Con la expansión del ransomware en el 2020, quienes usan malwares convencionales – como Trickbot, Qakbot y Dridex – ayudó a muchos operadores de ransomware a obtener acceso inicial a redes de potenciales víctimas cada vez con más frecuencia. El año pasado, muchos operadores de botnet hicieron alianzas con bandas de ransomware, explorando scripts como el PowerShell.
Su popularidad entre los invasores se explica por el hecho de que forma parte de todos los sistemas basados en Windows, por lo que es más fácil disfrazar las actividades maliciosas. Eso no es todo, en el 2020 también se hizo popular la exploración activa del Linux, con algunos agentes de amenazas añadiendo versiones correspondientes a su arsenal.
Crecimiento silencioso
Conforme a las observaciones del Grupo IB, los operadores de ransomware pasaron 13 días en promedio en la red comprometida antes de encriptar los datos. Antes de implantar el ransomware, los operadores localizaban y removían todos los backups disponibles, de forma que fuese imposible para la víctima recuperar los archivos atacados.
Así, juntando ese poder devastador con las vulnerabilidades que la pandemia trajo, el resultado es un escenario de éxito para los crackers.
“El Covid-19 llevó el ransomware a la realidad de todas las empresas, y también lo convirtió en el rostro principal del crimen cibernético del 2020”, dice Oleg Skulkin, analista forense digital senior del Grupo IB.
Es así como, algo que antes era una práctica rara, ahora es una industria multibillonaria, organizada con competencia interna, líderes de mercado, alianzas estratégicas y varios modelos de negocios.
Debido a su rentabilidad, el número de programas RaaS continuará creciendo, y como consecuencia más crackers se concentrarán en obtener acceso a redes para su reventa.
Además, las crecientes demandas de rescate estarán acompañadas por técnicas cada vez más avanzadas. Tomando en cuenta que la mayoría de los ataques son operados por personas, es fundamental que las empresas entiendan como es que actúan los invasores, conociendo las herramientas que usan para detener los ataques. “Ahora, es una preocupación de todos”, dice Skulkin.
This post is also available in: Português Español