El rápido aumento del modelo de negocio del Ransomware como Servicio (RaaS) en América Latina ha dado lugar a la aparición del predominio de pequeños grupos de ransomware y, por lo tanto, el declive de los grandes grupos de ciberdelincuentes. En esta región, la actividad ya opera bajo nuevas estructuras y perfiles que imitan a las propias corporaciones con el objetivo de continuar fortaleciendo sus operaciones delictivas y, al mismo tiempo, represente un reto para los analistas de inteligencia de amenazas.
Oswaldo Palacios, senior account executive de Akamai, destacó que la desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. De hecho, en América Latina, los pequeños grupos que apuestan por el ransomware como servicio están enfocados principalmente a atacar a empresas de gobierno o de la iniciativa privada de esta región.
MIRA: “Tu dispositivo se encuentra en peligro”: alertan que estafadores se hacen pasar por “soporte técnico” para engañar a usuarios
“Los grupos de RaaS se están volviendo más organizados y eficientes. En la actualidad cuentan con varios departamentos encargados de la administración, finanzas, recursos humanos y a la par con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección. Cada etapa del ataque cuenta con personas que actúan como los responsables o como gerentes y están apareciendo nuevos roles, como los de los negociadores de ransomware”, asegura.
Expertos han estimado que, en un ataque de ransomware participan desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%). Al respecto, Palacios señala que los nuevos grupos de ransomware buscan en sus equipos habilidades especializadas principalmente cuando se trata de negociar o pagar rescates.
De acuerdo con Akamai, el Ransomware como Servicio funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
MIRA: Android: cómo administrar los permisos que le das a tus aplicaciones para cuidar tu privacidad
En todo este ecosistema cobra gran relevancia el pago del rescate, y como muchas compañías no resisten la presión de los ciberdelincuentes acceden como una vía fácil para recuperar el acceso a sus archivos o sistemas. Recientemente una compañía brasileña con sede en Bauru fue víctima de un ataque de ransomware por parte del peligroso grupo Hive y llegó a pagar diez veces más por la propuesta original.
“Este es solo uno de los cientos de ejemplos que existen sobre el pago de ransomware donde los negociadores, o más bien extorsionadores, juegan un papel importante en la última etapa del proceso (monetización) para ejercer presión en las víctimas a fin de que paguen el rescate exigido por los ciberdelincuentes a través de correos y/o mensajes agresivos, ataques de negación de servicio distribuido (DDoS) o amenazar con liberar la información si se niega a pagar”, afirma Palacios.
Generalmente, los grupos delictivos de ransomware se comunican con las víctimas mediante un correo electrónico que menciona el pago del rescate. Sin embargo, a medida que el RaaS ha ido creciendo, muchos actores empezaron a establecer sus propios portales para mantener desde allí todas las comunicaciones. Algunos desarrolladores o afiliados del ransomware determinan la suma del rescate, ofrecen descuentos y discuten las condiciones de pago. En la actualidad, están recurriendo a negociadores para lograr pagos efectivos y obtener mayores ganancias.
MIRA: La industria del videojuego se paraliza: piden US$10 millones tras hackeo de League of Legends
De acuerdo con Palacios, estos negociadores requieren de una serie de habilidades imprescindibles para negociar con confianza y obtener un resultado satisfactorio, así como tener una capacidad argumentativa y persuasiva para intimidar y convencer prontamente a la víctima. “El negociador” impone una sanción lo suficientemente alta para la compañía de acuerdo a la información secuestrada y que en tal caso la organización se vea imposibilitada o limitada a operar y pagar el rescate.
Al ser ataques dirigidos, la mayoría de las veces los delincuentes conocen qué puntos son más importantes para la compañía y cómo atacarlos, de tal forma que la organización se vea imposibilitada de operar y obligada a pagar el rescate.
Sin embargo, el experto recomendó a las organizaciones no realizar el pago por un rescate de ransomware ya que el hacerlo no garantiza recuperar la información ni la operación de la compañía. “Siempre será mejor emprender una estrategia de prevención. La microsegmentación, por ejemplo, se está convirtiendo en una herramienta cada vez más importante para los equipos de TI que se enfrentan al reto de mantener las políticas de seguridad y el cumplimiento en consonancia con el rápido ritmo de cambio de los centros de datos dinámicos, y los entornos de nube y de nube híbrida actuales”, concluye.
VIDEO RECOMENDADO
TE PUEDE INTERESAR
- Las vulnerabilidades de LearnPress, complemento de WordPress, afectarían a más de 75.000 sitios si no aplican el último parche
- WhatsApp: ¿cómo saber si otra persona ha iniciado sesión con mi cuenta en otro dispositivo?
- Telegram: detectan una versión maliciosa para Android, llamada ‘Shagle’, que actúa como espía en los celulares
Contenido sugerido
Contenido GEC