Problemas de la Pandemia: El Ascenso de Bandas de Ransomware

NoticiasNegociosCiber TendenciasCibercrimen
Written By Kate Esprit

Resumen

Netflix y Zoom no son las entidades únicas que experimentaban un aumento de ingreso como resultado de la pandemia COVID-19 – las bandas de ransomware, tanto como los hackers en general, han aumentado ambas sus actividades y sus ganancias. Estos grupos criminales atacan sistemas usando ransomware, una forma de software malicioso (en inglés, malware) que asume control de un dispositivo y exige un rescate por los datos robados. Mientras bandas de ransomware ciertamente no son nada nuevas, la aparición de la pandemia ha causado el aumento de ransomware. De hecho, algunos reportes estiman que las bandas de ransomware ganaron por lo menos US$350 millones en 2020, lo cual representa un 311% aumento masivo de ganancias en comparación con el mismo periodo en 2019. Además, los ataques de ransomware también están llamando la atención del mundo y por lo tanto, son más visibles.

El Teletrabajo: La Lotería de Ransomware

Entonces, ¿cómo la pandemia ha creado más oportunidades para bandas de ransomware? Abajo son unas maneras en que estos grupos se han aprovechado:

unsplash-image-Lta5b8mPytw.jpg

  1. El crecimiento del uso del internet – La pandemia causó un aumento de la utilización mundial de la red porque la gente se ha sido obligada a cumplir con medidas de cuarentena y de teletrabajo. Más personas que están en línea significa más clics en enlaces potencialmente dañosos y oportunidades de extorsionar a usuarios.

  2. Aumento de criptomoneda – Las bandas de ransomware normalmente exigen rescates pagados por la criptomoneda como Bitcoin, puesto que permite transacciones confidenciales y es menos regulado. Entre abril de 2020 y abril de 2021, el precio de Bitcoin creció por más de 800%.

  3. Más victimas pagan el rescate – Según Steve Morgan, el editor jefe de Cybercrime Magazine, más empresas están pagando el rescate para recuperar sus datos y reducir las consecuencias de los ataques. Por otra parte, estudios demuestran que la cantidad de victimas que eligieron a pagar el rescate creció por más de 300% entre 2019 y 2020.

  4. Más cobertura de los medios – Mientras bandas de ransomware siguen explotando más victimas de alto perfil (por ejemplo, Asociación Nacional de Basquetbol (NBA), Oleoducto Colonial, Policía Metropolitana de Washington DC), los medios están publicando más reportes sobre estos incidentes. Esto contribuye al problema cíclico de ransomware – empresas sufren un ataque y luego pagan el rescate, los atacadores ganan los pagamientos sin ser detectados, los hechos están presentados por los medios, y otros hackers leen sobre el ataque exitoso y entonces ellos deciden a atacar a otras víctimas de la misma manera.

¿Cómo funciona el ransomware?

Primero, habitan. Los hackers que usan el ransomware frecuentemente comienzan sus ataques por un proceso llamado habitar (en inglés, dwelling), en lo cual los atacadores entran un sistema sin detección y buscan la información más confidencial (y por lo tanto, más valiosa). Los hackers a menudo ganan acesso a las redes de sus victimas por correos de phishing, un tipo de ingeniería social durante lo cual se mandan enlaces maliciosos que aparecen como legítimos por email.

Segundo, buscan servidores. Otro método popular usado por bandas de ransomware apunta a servidores públicos de Remote Desktop Protocol (RDP), los cuales permiten que usuarios controlen una computadora local desde una estación remota. De hecho, un reporte producido por la empresa Group-IB mostró que 52% de los ataques de ransomware del año 2020 ganó acceso por estos servidores públicos RDP (dato curioso: los métodos de phishing constituyeron un 29% de los ataques).

Tercero, utilizan fuerza bruta. Después de entrarse en los sistemas, los hackers frecuentemente utilizan ataques de fuerza bruta para evitar los requerimientos de credenciales. Los ataques de fuerza bruta contienen un programa del descifrado de contraseñas que prueba cada combinación posible de caracteres para acceder a los sistemas seguros.

Al final, realizan el malware. Cuando están dentro de la red, las bandas de ransomware lanzan el payload, o el data transmitido dentro del malware que realiza el ataque, normalmente usando PowerShell, el lenguaje de programación por Microsoft.

Caso de estudio: 2021 ataque contra Kaseya

En 2 de julio de 2021, el grupo ruso cibercriminal REvil lanzó un ataque global de ransomware que utilizó vulnerabilidades descubiertas dentro del software Administrador de Sistema Virtual (VSA) de la empresa tecnológica estadounidense Kaseya Limited. Específicamente, el incidente explotó vulnerabilidades dentro de la actualización de software más reciente de VSA, permitiendo a los hackers substituirla con ransomware y hackear unos 50 proveedores de servicios gestionados que usaban productos de Kaseya. Antes de Kaseya podían avisar a sus clientes, el payload malicioso del ransomware afectó aproximadamente 1,500 organizaciones, con el valor de exigencias de rescates entre miles de dólares y US$5 millones o más. Unas horas después, Kaseya apagó el software VSA en sus propios servidores y suspendió sus servidores de Software como un Servicio (SaaS).

unsplash-image-r1dsQ4-cTqI.jpg

Los reportes de los medios describieron el ataque contra Kaseya como el ataque global de ransomware más grande en la historia. ¿Pero por qué tuvo tanto éxito? Por causa de la combinación de la interdependencia de la cadena de suministro y las vulnerabilidades de seguridad. Los ataques de ransomware que apuntan a un software específico, en vez de un individuo o empresa en particular, se ponen más populares por causa del “efecto dominó” que resulta por el lanzamiento de un solo ataque que afecta múltiples sistemas. Además, el ataque de REvil demuestra la sofisticación aumentada de ataques de ransomware – por ocultar el malware dentro de la actualización de software, los atacadores garantizaron que afectaron a una cantidad máxima de victimas.

En conclusión, el futuro de ransomware siempre está evolucionando. Mientras prevenir un ataque puede parecer imposible, la comunidad de ciberseguridad puede hacer mucho para proteger usuarios. Algunas mejores prácticas incluyen: realizar escaneos regulares de vulnerabilidades para identificar debilidades del sistema, aplicar actualizaciones y revisiones, mantener respaldos cifrados fuera de línea, y asegurar que los empleados conocen los protocolos internos de gestión de crisis. Tener la higiene ciber buena es necesario para mitigar riesgos durante de la pandemia y más allá.

¿Le interesan otros ejemplos de ataques de ransomware contra la cadena de suministro? Lea el post anterior por Phishing for Answers, “Como Ghana salvó a un conglomerado de un ciberataque,” para aprender más sobre cómo un ataque de ransomware que originaba en Ucrania logró a afectar el mundo entero en solo unas horas.

Kate Esprit
Previous

Realidad Virtual e Aumentada: ¿Innovadora o Destructiva?
Next

¿Por qué recibimos tantas llamadas automatizadas y textos no deseados?