Durante 2020 los ataques del malware de tipo Ransomware aumentaron a más del doble.  Este funciona encriptando bases de datos y archivos en la plataforma infectada para después pedir un rescate, que en general se duplica luego de 72 horas. Ceder a este chantaje supone un riesgo adicional, ya que no existe garantía de que el atacante libere la información y que la posibilidad de identificar al ciberdelincuente sea casi nula, pero con un agravante: los pagos efectuados en criptomonedas son sumamente difíciles de rastrear y recuperar.

 

Nadie está a salvo de ser infectado por un malware de este tipo. Sin embargo se empieza a ver una tendencia en la que los atacantes prefieren objetivos más grandes como: bancos, telefonía, dependencias gubernamentales o grandes empresas y entidades que tengan impacto en el público. Últimamente lamentablemente el foco se ha puesto en las entidades de salud, hospitales, sanatorios, hospitales y prepagas.

En Argentina en los últimos meses contabilizamos tres decenas de casos, la mayoría de las víctimas no reconocen la afectación hasta tanto es inocultable, especialmente en nuestro país los montos de los rescates en criptomonedas pero impuestos por los secuestradores en u$s son por razones obvias IMPAGABLES, pero lamentablemente el costo de recuperación en los casos en que sea posible son altísimos, en la gran mayoría de las oportunidades la perdida de datos es inexorable.

Situaciones que la planteada por la banda REvil supone una vuelta más de tuerca, la amplificación del daño y tensar más la cuerda de las víctimas, sino también por las consecuencias éticas y legales que implica subastar al mejor postor datos personales, información médica, información de usuarios, etc. Días atrás Acer informó que sufre una infección del ransomware REvil y que la exigencia del rescate asciende a 50 millones de dólares, record histórico del precio que se le pone a la liberación, por si hacia falta la banda publicó en dark web varias "pruebas de vida".

Varias agencias de seguridad y grupos de investigación coinciden en que algunas bandas de ransomware están colaborando entre sí para tener más fuerza y seguir colectando dinero. Si bien, esto no es posible confirmar, si es cierto que la cantidad de ataques y dinero que están reuniendo crece de manera exponencial, al igual que baja la velocidad de ejecución; lo están haciendo mucho más rápidamente que antes y con una ventaja más, es mínima la cantidad de identificaciones positivas respecto de la identidad de los autores.

Como agravante, esto se evidenció en cuatro de los grupos de ciberdelincuentes más conocidos y activos, Twisted Spider, Viking Spider, Wizard Spider y LockbitGang y posteriormente lo anunciaron formalmente en más de una oportunidad entre finales de 2020 y principios de este año. Si bien, se pudo constatar el intercambio de información sobre filtraciones de datos, estos aparentemente no comparten ingresos o coordinación entre los grupos. En mayo de 2020, Twisted Spider anunció que se había unido al grupo LockBit para formar un cartel para "compartir su experiencia y plataforma de filtración de datos". Sin embargo, los grupos solo parecían compartir sus sitios de filtración de datos, en los que se publica la información de las víctimas, y algo de infraestructura. Es necesario que haya algo más que cooperación, intercambio de recursos y tácticas entre las pandillas para que su asociación califique como un verdadero Cartel, ya que la constitución de un cartel implicaría grandes recursos financieros.

Los cuatro grupos se acercaron a periodistas e incluso hicieron declaraciones públicas. En particular, si una empresa se negaba a pagar, Twisted Spider emitía comunicados de prensa criticando a las empresas y Viking Spider, que infectó a las víctimas con RagnarLocker, utilizaba anuncios en Facebook y un "muro de la vergüenza" para exponerlos. Algunas de estas acciones, poco usuales por cierto, podrían haber llevado a algunas de estas bandas al cierre de sus operacioneso lo que en realidad sucedió, al cambio de nombre por ejemplo del grupo “Maze” que pasó a llamarse “Egregor”, quien atacó con altísima eficacia y especial virulencia a desprotegidas empresas en Argentina y la Región.

Varias investigaciones y exploraciones en foros en Dark Web y sitios de intercambio de información de ciberinteligencia indican que Twisted Spider y otras bandas trabajan juntas. Estos grupos se están volviendo más peligrosos al reinvertir los ingresos en mejorar sus operaciones de ransomware. Esto incluye expandir las operaciones automatizadas y actualizar regularmente el malware con funciones más avanzadas, lo que hace que hacia el futuro estas bandas sean cada vez más peligrosas.

Wizard Spider, el grupo con más experiencia y comúnmente asociado con Trickbot y el ransomware Ryuk, con el que se ha atacado durante el último año especialmente a organizaciones vinculadas con la salud; han desarrollado un sistema automatizado para infectar e intervenir  los datos y sistemas de la víctima. Si bien, la mayoría de los ataques de ransomware tardan varios días o semanas desde el compromiso inicial para "apretar el gatillo" e iniciar el ransomware, la automatización podría reducirlo a horas.

En general, el ransomware es actualmente un proceso bastante manual, pero el crecimiento de su estructura organizativa y la capacidad económica que están adquiriendo hace que trabajen diligentemente en cerrar la brecha de tiempo utilizando técnicas automatizadas.

Por su parte LockbitGang, también está enfocado en automatizar su proceso. En un solo caso analizado el informe forense determinó que infectaron el sistema, se propagó por su red y ejecutó el ransomware en menos de dos horas. La banda se presenta como un servicio de soporte, que ayuda a las empresas a recuperarse del cripto-malware por una tarifa, es decir, el rescate.

La realidad es que el costo y los recursos necesarios para identificar, detener y encarcelar a los ciberdelincuentes es mucho, pero mucho mayor que lo que los gobiernos están dispuestos a solventar, en general los gobiernos occidentales no están preparados para investigar y procesar el delito cibernético a gran escala.

 

* CEO de BTR Consulting