Ransomware, la ciber amenaza que va en alza

Desde el primer malware de este tipo fue programado en 1989 y se lanzó el primer ataque informático mediante un troyano, conocido como PC Cyborg o AIDS Trojan, el escenario de la ciberseguridad ha evolucionado mucho.

Tras la aparición de bitcoin, los ciber delincuentes vieron en las criptomonedas una nueva oportunidad para solicitar rescates imposibles de rastrear a cambio de frenar el ataque. Esta es la razón principal de que en la última década los incidentes de secuestro de datos y extorsión o ransomware hayan crecido de forma exponencial. Analizamos qué ha sucedido en 2021 y qué nos espera para este nuevo año.

Los cambios tecnológicos que la mayoría de organizaciones tuvieron que implementar para permitir el teletrabajo multiplicaron las vulnerabilidades de los sistemas y los riesgos asociados y la incertidumbre causada por la pandemia sirvió de gancho para multiplicar los ataques de ransomware y phishing.

Tendencias Emergentes

1. 01

   De la doble a la múltiple extorsión

   El ataque por ransomware más habitual consiste en infectar un sistema informático con un malware, un programa capaz de encriptar datos valiosos para la organización. Los atacantes solicitan un pago, normalmente en criptomonedas, a cambio de desencriptar la información y permitir que la entidad siga funcionando con normalidad. Sin embargo, las formas de extorsión se han ido multiplicando en los últimos años. La doble extorsión, que implica, además del encriptado, la amenaza de publicar los datos, es una de las más habituales.

2. 02

   Ataques de ransomware dirigido

   Por lo general, los ataques por ransomware no afectan en exclusiva a ningún tipo de empresa. De hecho, más de un 70 % de los incidentes de este tipo tiene como objetivo pequeñas y medianas empresas de todo tipo, según los datos de la plataforma de soluciones de ciberseguridad Panda. Sin embargo, durante los últimos dos años se ha experimentado un auge de los llamados ataques de ransomware dirigido. Es decir, ataques desarrollados con el único objetivo de atacar a una empresa concreta.

3. 03

   Auge del ransomware as-a-service

   El ciber crimen como servicio (CaaS, por sus siglas en inglés) es cada vez más habitual. A grandes rasgos, consiste en que las organizaciones ciber criminales alquilan sus servicios o sus herramientas al mejor postor. Esto multiplica las amenazas, ya que permite que cualquier personas o entidad pueda estar detrás de un ataque con una inversión mínima, independientemente de sus conocimientos técnicos.

4. 04

   El mercado asegurador continúa en un momento duro

   Más allá del ransomware, los ataques a la cadena de suministro son sin duda una amenaza emergente que desafortunadamente sigue contribuyendo al endurecimiento del mercado asegurador. Mientras se sigan experimentando ataques a empresas que proporcionan soluciones y servicios de ciberseguridad, a agencias gubernamentales o a grandes corporaciones tecnológicas, los precios y las condiciones de los ciber seguros seguirán endureciéndose.

Principales Malwares

Los ataques de ransomware siguen siendo la forma de financiación más lucrativa para los cibercriminales. Los principales grupos de delincuentes cibernéticos siguen actuando y causaron algunos de los mayores ataques durante el 2021.

• DoppelPaymer. Este grupo volvió a ser responsable de uno de los mayores rescates solicitados en 2021, como ya lo fue en 2020. En febrero del año pasado solicitó más de 400 bitcoins (20 millones de dólares en los precios del momento) a una conocida marca del sector de la automoción. Sus ataques siguen centrándose en el sector financiero y en el industrial.
• REvil. Este grupo, también conocido como Sodinokibi, es otro de los que repite en la lista de ataques más destacados. La organización logró robar datos de una gran compañía de soluciones tecnológicas y pidió un rescate de más de 50 millones de dólares al tiempo que amenazaba con hacer pública toda la información sustraída, una de sus tácticas más habituales.
• Babuk. Este grupo de origen ruso ocupó los titulares en dos ocasiones durante el último año. La primera fue tras atacar y sustraer más de 250 GB de datos de los servidores de la policía de Washington DC, capital y centro político de Estados Unidos. La segunda fue cuando uno de los fundadores del grupo decidió hacer público el código fuente completo del ransomware utilizado, algo que a corto plazo podría favorecer la lucha contra este tipo de amenazas.
• Phoenix Locker. Este malware, vinculado probablemente al grupo HADES, fue utilizado el año pasado para atacar los servidores y la infraestructura IT de una de las mayores aseguradoras de Estados Unidos. Se estima que se bloqueó el contenido de más de 15 000 dispositivos y la compañía tuvo que pagar más de 50 millones de dólares para hacerse de nuevo con el control de su sistema.
• DarkSide. Este grupo, conocido por tener un código ético propio que solo le permite atacar a ciertas organizaciones y le obliga a donar parte de los rescates, protagonizó dos de los incidentes más sonados de 2021. En primer lugar, logró bloquear la red de oleoductos por la que pasa un tercio de la gasolina de Estados Unidos. Solo un mes más tarde, atacó y sustrajo 150 GB de datos de una importante compañía química. En ambos casos solicitó cantidades elevadas de bitcoin a cambio de parar los ataques.

Solución

A medida que el panorama de ciberriesgos en general, y de ransomware en particular, se complica, las herramientas para combatir las amenazas deben también ganar en sofisticación. De acuerdo con los expertos en ciberseguridad de WTW, las organizaciones deben desarrollar una estrategia de defensa en profundidad, que establezca procedimientos de copias de seguridad, refuerzo de la autenticación, planes de actualizaciones, monitorización de la red y una estrategia clara de gestión de riesgos humanos.