Threat Research

Ganadores y perdedores en la guerra del ransomware

Como es lógico, la mayoría de las noticias sobre ciberseguridad se centran en los comportamientos de los atacantes y en cómo están avanzando o cambiando para causar el máximo daño. Si bien esta es una información importante que los defensores deben tener a diario, y se trata en profundidad en nuestro nuevo Informe de Amenazas 2022, es igualmente importante reflexionar sobre cómo estamos progresando.

El final del año parece ser el momento en que vemos el mayor impacto del arduo trabajo de todos para derrotar a los ciberdelincuentes.

Recientemente, vimos que el ransomware BlackMatter anunciaba “el proyecto está cerrado”. Los operadores dieron a entender que algunos de los miembros de su equipo habían desaparecido, quizás debido a las recientes detenciones de Europol y otros.

Sin embargo, hemos escuchado todo esto antes, y “cerrado” rara vez es tan definitivo como parece. El ransomware como servicio es simplemente el servicio. Los afiliados que compran el servicio y realizan la piratería en sí simplemente buscan nuevas redes a las que afiliarse y continúan con su frenesí delictivo sin cesar. Mientras tanto, los operadores, o creadores originales, del ransomware que “cerró”, probablemente volverán a surgir con un nuevo nombre (más sobre esto más adelante).

Dejarlo todo

El anuncio de BlackMatter llega justo después de la noticia de que REvil, otro grupo de ransomware como servicio, se retiraba oficialmente el 18 de octubre de 2021.

La noticia de REvil es un ejemplo del típico drama cibernético: uno de los cofundadores, llamado “Unknown” desapareció y nadie sabe si fue arrestado o ha estafado (la práctica de tomar todo el dinero y correr sin pagar las deudas y obligaciones). La mayoría apuesta por esto último.

El otro cofundador, “0_neday”, parecía estar intentando resucitar el servicio después de una pausa de tres meses, pero se asustó cuando el gobierno de Estados Unidos se hizo cargo del sitio en la darkweb utilizado para filtrar datos robados. Para un grupo conocido por su fanfarronería, REvil parece haberse marchado sin rechistar.

Si bien REvil fue uno de los grupos de ransomware más activos en la primera mitad de 2021, hace apenas un año vimos los últimos ataques del anterior grupo de ransomware más prolífico, Maze.

Maze se retiró el 1 de noviembre de 2020. La nota, que en el mejor de los casos podría calificarse de grito, declaraba que el “cártel” estaba oficialmente cerrado. Está en estilo FAQ, y los operadores también trataron de explicar su comportamiento quejándose de cómo las empresas vulnerables a las que se les confía información sensible están maduras para la cosecha y cómo el mundo se está convirtiendo en un “campo de detención digital”.

Maze cambió el panorama de amenazas de ransomware al ser el primer grupo en robar información con fines de extorsión, además de cifrarla y exigir un rescate.

Maze parece haberse inspirado en Shadow Kill Hackers, otro grupo criminal que intentó la extorsión. A fines de octubre de 2019, Shadow Kill Hackers irrumpió en la red de la ciudad de Johannesburgo, robaron información confidencial de los residentes y exigieron dinero para no divulgar la información públicamente.

La puerta giratoria del ransomware

Hemos avanzado mucho en la lucha contra la ciberdelincuencia, sobre todo en el cuarto trimestre de cada año, incluido el de 2021. El ritmo de los procesamientos, la identificación y la atribución está madurando por fin hasta un punto en el que está marcando la diferencia. Sin embargo, esto es solo el principio, y no podemos bajar la guardia porque, como se demuestra a continuación, tan pronto como un grupo de ransomware se desvanece del centro de atención, aparece otro.

Por ejemplo, en el Informe de amenazas de Sophos del año pasado, toda la atención se centraba en el ransomware Maze y cómo presumiblemente había perfeccionado la táctica de usar la extorsión para aumentar los pagos de las víctimas.

Medio año después, Maze estaba casi olvidado; la industria de la ciberseguridad había pasado a estudiar cómo REvil había perfeccionado la técnica. Antes de que nos diéramos cuenta, REvil también era cosa del pasado, y ahora Conti ransomware y otros lideran el camino.

¿Nuevo código o sólo una nueva imagen?

La verdadera pregunta es, ¿hay alguna diferencia? El ciberdelito aborrece el vacío. Donde un criminal abre un nuevo camino, otro se apresura a robar la idea y mejorarla.

Cada año, un grupo aparentemente diferente de ciberdelincuentes ha exigido un rescate a víctimas inocentes y, curiosamente, muchos de ellos se parecen mucho al grupo anterior.

Que sean lo mismo o simplemente ambiciosos oportunistas emergentes es irrelevante. Al final, están ahí fuera, intentan robarnos y son cada vez más audaces en sus acciones. La industria está progresando, pero la urgencia del mensaje para configurar el protocolo y las defensas no está llegando a todos los posibles objetivos de ransomware.

El camino a seguir

Algunas formas clave de acabar con el ransomware son: dejar de pagar rescates, aprender de los errores de seguridad de otros y aumentar la vigilancia y los protocolos de seguridad para seguir subiendo el listón de los atacantes. A medida que aumenta la dificultad del compromiso, también aumenta el coste. Esto reduce el número de adversarios, lo que a su vez hace que nuestras acciones colectivas sean más efectivas para reducir su impacto.

En los últimos años hemos hecho progresos increíbles. Hemos eliminado los complementos de los navegadores, hemos automatizado los parches de los navegadores y hemos cifrado cerca del 95% de las comunicaciones por Internet. Esto ha reducido seriamente el riesgo para los usuarios medios de Internet en casi todos los aspectos de la vida moderna.

Esperamos que el Informe de Amenazas de Sophos 2022 contribuya a esta tendencia. Nuestro equipo está formado por algunos de los investigadores de seguridad más dedicados y apasionados del mundo y hemos pasado meses trabajando juntos para identificar las tendencias, los cambios y las tácticas más importantes empleadas por quienes desean hacernos daño.

Juntos podemos marcar la diferencia y las pruebas de ello ya son claras. Hagamos que 2022 sea más seguro que cualquier otro momento en la memoria reciente.