El ransomware se ha convertido en el mayor problema de ciberseguridad que enfrentan las empresas, los gobiernos y el mundo en general en la actualidad.
Una serie de incidentes de alto perfil durante el año pasado, como el ataque de ransomware Colonial Pipeline, el ataque de ransomware Kaseya, una serie de ataques contra hospitales y atención médica, incluido el Irish Healthcare Executive, y muchos otros, han causado problemas a millones.
El ransomware es efectivo porque, en muchos casos, la víctima cederá a la extorsión de los ciberdelincuentes y pagará el rescate, a menudo millones de dólares, para obtener una clave de descifrado para restaurar su red. En otros casos, las víctimas no pagan y optan por restaurar la red por sí mismas, un proceso que puede llevar semanas o meses, todo lo cual tiene un impacto en sus negocios o servicios. Tal ha sido el caos causado que el ransomware incluso se ha convertido en parte de la discusión entre los líderes mundiales durante las cumbres internacionales.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de MarketingyPublicidad.es)
Durante la segunda mitad de 2021, las fuerzas del orden de todo el mundo publicaron arrestos y derribos relacionados con grupos de ransomware y los servicios de la web oscura que les permiten operar, con sospechosos detenidos en países como Ucrania, Corea del Sur y Kuwait.
Pero a pesar de que estos arrestos fueron bienvenidos por las fuerzas del orden, muchos de los equipos de ransomware más notorios permanecieron en libertad. Esto, en parte, se debe a que muchas de estas operaciones delictivas cibernéticas se llevan a cabo desde Rusia, y existe un consenso entre los expertos en seguridad cibernética de que las autoridades locales están dispuestas a hacer la vista gorda ante los piratas informáticos criminales que centran su atención en Occidente.
Entonces, fue una sorpresa cuando, el 14 de enero, el Servicio Federal de Seguridad (FSB) de Rusia anunció que había detenido a presuntos miembros de la pandilla de ransomware REvil que operaba desde varias regiones del país y había desmantelado las operaciones del grupo.
REvil fue uno de los grupos de ransomware más disruptivos de 2021. Una de las campañas de alto perfil que llevaron a cabo incluyó un ataque contra JBS, que resultó en que el productor de alimentos pagara un rescate de más de $10 millones.
El grupo de ransomware también fue culpado por un ataque contra Kaseya, el proveedor de software de administración de TI empresarial. El ataque provocó la interrupción de miles de negocios en todo el mundo y, en muchos casos, el cierre temporal hasta que los servicios volvieron a estar en línea, lo que impidió que las personas pudieran comprar productos en sus supermercados locales en regiones que van desde Suecia hasta Nueva Zelanda.
Pero si uno de los grupos de ransomware más grandes e infames de repente se encuentra siendo derribado por las fuerzas del orden, ¿significa esto que el juego está listo para el ransomware?
Ciertamente, los miembros de los foros clandestinos han tomado nota, y algunos expresaron su preocupación de que es solo cuestión de tiempo antes de que las fuerzas del orden los alcancen. «De hecho, una cosa está clara, aquellos que esperan que el Estado los proteja se sentirán muy decepcionados», dijo un miembro de un foro. Algunos miembros del foro incluso sugirieron que podrían trasladar las operaciones a una jurisdicción diferente, aunque es poco probable que esta sea una opción realista para muchos.
Sin embargo, si bien REvil es notorio, el grupo estuvo en pausa durante varios meses antes de la acción del FSB, lo que significa que, si bien los arrestos de ciberdelincuentes son bienvenidos, algunos dudan si esto tendrá un impacto significativo en otros equipos importantes de ransomware. Tampoco está claro si continuará el repentino interés de Rusia en perseguir el crimen de ransomware; algunos expertos de la industria han sugerido que el compromiso de Rusia puede estar relacionado con su agenda geopolítica más amplia
Según la Casa Blanca, uno de los sospechosos arrestados como parte de las redadas de REvil fue la persona detrás del ataque de ransomware Colonial Pipeline, el incidente que provocó la escasez de gasolina en la costa este de EE. UU. El ataque, en el que Colonial pagó un rescate de $ 5 millones, no fue realizado por REvil, sino por DarkSide, un grupo de ransomware separado pero estrechamente asociado.
Esta situación ilustra uno de los problemas que complican la disrupción del ransomware: los grupos que los operan no actúan como empresas regulares con títulos de trabajo claros. En cambio, los diferentes grupos pueden superponerse y los ciberdelincuentes individuales pueden moverse entre diferentes equipos.
Si las fuerzas del orden eliminan a un grupo, los desarrolladores de ransomware restantes y otros miembros de la operación pueden llevar sus habilidades a otra parte, ayudando a los esquemas de afiliados de ransomware existentes o ayudando a configurar uno nuevo.
Los esquemas de afiliados de ransomware como servicio permiten a los ciberdelincuentes que desean realizar ataques de ransomware, sin tener que crear ransomware ellos mismos, entrar en acción, generalmente con los desarrolladores del producto tomando una parte de las ganancias obtenidas de los rescates.
A lo largo de los años, las personas que administran los esquemas de afiliados han ido y venido, ya sea después de cerrarlos, tomar una pausa temporal, regresar a veces después de un cambio de marca o, en algunos casos, simplemente retirarse del negocio del ransomware. Pero para aquellos que quieren ser parte de un esquema de ransomware como servicio, todavía hay muchas opciones disponibles a medida que continúan apareciendo nuevas operaciones.
Por lo tanto, si bien los arrestos y las eliminaciones son herramientas efectivas contra quienes desarrollan ransomware, la demanda de los que están más abajo en la cadena, combinada con los autores de ransomware calificados que llevan sus habilidades a nuevas operaciones, probablemente signifique que seguirán surgiendo nuevas operaciones de ransomware, incluso después de la captura. bajas
VER: Ransomware: es una ‘era dorada’ para los ciberdelincuentes, y podría empeorar antes de mejorar
Es poco probable que la última ronda de arrestos detenga repentinamente el ransomware. Pero muestran a los grupos de ransomware y a los ciberdelincuentes que los rodean que no son inmunes a ser rastreados y obtener sus activos y confiscar las demandas de rescate, particularmente a medida que se realizan más y más arrestos.
«Sigue siendo lucrativo, por lo que hay muchas razones para hacerlo, todavía no es relativamente arriesgado, pero en términos de imponer costos, el costo de hacer negocios ha aumentado», dice Ciaran Martin, profesor de práctica en Blavatnik de la Universidad de Oxford. Escuela de Gobierno y ex director del Centro Nacional de Seguridad Cibernética del Reino Unido.
«Tal vez no sean los principales operadores, tal vez solo sean jugadores secundarios, pero eso aún tiene un impacto, y creo que aún elimina un poco mejor la sensación de impunidad del ransomware», agrega.
Como lo demostraron las discusiones en la dark web luego de los arrestos, la acción contra los grupos de ransomware también puede sembrar dudas en la mente de quienes están detrás de los ataques cibernéticos.
No solo es más probable que les preocupe la idea de que las fuerzas del orden derriben su puerta, sino que podría plantar la idea de que no se puede confiar en las personas del ecosistema del ransomware; podría ser que las fuerzas del orden se hayan infiltrado en un foro, o un miembro destacado ha sido coaccionado repentinamente para ayudar a las autoridades con su investigación.
«La confianza entre las diversas partes de estas redes probablemente se haya erosionado», dice Martin.
Y si hay dudas entre las comunidades de ransomware de la web oscura, eso empuja otra barrera que hace que las campañas sean un poco más difíciles de llevar a cabo.
El arresto de los ciberdelincuentes es bienvenido, es algo que socava un importante problema de ciberseguridad que enfrentan las organizaciones hoy en día y muestra que existen posibles consecuencias por llevar a cabo el ciberdelito, pero el problema del ransomware no desaparecerá repentinamente en 2022.
«No ha terminado de ninguna manera», dice Martin. «Partes de esto han mejorado un poco, pero sigue siendo el problema de seguridad cibernética preeminente de nuestro tiempo».