El ransomware crea su ecosistema criminal

Durante los dos últimos años, este espacio ha venido advirtiendo del repunte de ataques de ransomware, en el que ya se producido un mercadeo en la Dark Web, llamado Ransomware-as-a-Service (RaaS), con auténticos mercenarios que escriben el código malicioso para después vendérselo, a cambio de un porcentaje del rescate, a quienes realizan el trabajo sucio de extorsionar a las víctimas.

La consecuencia última es que en torno a esta actividad delictiva se ha creado un ecosistema criminal muy robusto, a la par que lucrativo, del que participan muchos actores y organizaciones. El comercio del código malicioso ya no es la única operación criminal que se realiza, previamente existe otra.

El modus operandi es el siguiente: una parte de estos actores se encarga de abrir brechas de seguridad en las potenciales víctimas. Es en este punto en el que se produce la primera transacción, vendiendo el acceso a los ‘operadores de ransomware’, que aprovecharán la brecha para proceder al robo de datos o al encriptado de la información para exigir posteriormente un rescate.

Según estudios como la firma Proofpoint, la puerta de entrada de aproximadamente el 20% del ransomware durante la primera mitad del año han sido troyanos bancarios, enmascarados en correos electrónicos que redirigen a sitios web desde los cuales se infecta a los usuarios. Un buen ejemplo de este tipo de troyanos es Emotet, que entre 2018 y 2020 estuvo detrás de buena parte de los ransomwares cometidos llegando como un fichero adjunto tipo documento Word o de compresión Zip, hasta que el pasado mes de enero fue finalmente desactivado. Emotet servía posteriormente para la descargar nuevo malware (The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif…) para posibilitar nuevas infecciones. En su extenso análisis, Proofpoint ha identificado cómo diversos grupos criminales utilizan los mismos métodos, como TA577 o TA551, que utilizan el malware IcedID para abrir la brecha de seguridad e instalar posteriormente ransomware como Egregor, Maze y REvil.

Este tipo de ataques se está convirtiendo en una auténtica epidemia y el escenario no se vislumbra demasiado optimista: según otro estudio de Neustar International Security Council (NISC), más de la mitad de las organizaciones pagarían el rescate si fueran víctimas de un ataque de ransomware, como recientemente sucedió con el pago cuatro millones de dólares en bitcoins por parte de Colonial Pipeline.

Sin embargo, todos los expertos coinciden a la hora de desaconsejar el pago de esos rescates y, ahora, una investigación de Cybereason confirma el por qué: aunque el 51% de las empresas que pagaron un rescate dijeron que recuperaron sus datos en su totalidad, existe un 46% que indica que parte de ellos estaban corruptos y un residual 3% ni siquiera recuperó su información. Por otro lado y lo que aún es peor, cuatro de cada cinco organizaciones que pagan terminan sufriendo un nuevo ataque, según el estudio de Cybereason.