Where ransomware attacks come from: 3 origins worldwide

• Los 5 principales objetivos del ransomware por industria en 2024 incluyen educación, construcción y propiedad, gobierno central y federal, medios de comunicación, entretenimiento y ocio, y gobierno local y estatal.
• Los tres orígenes de las nuevas cepas de ransomware son actores patrocinados por el estado, organizaciones criminales e investigadores de seguridad que no siempre piensan bien las cosas.
• Los ataques a la cadena de suministro, la triple extorsión y el ransomware como servicio (RaaS) son las principales tendencias del ransomware en los últimos años.

Aunque el ransomware no es un riesgo de ciberseguridad completamente nuevo, los principales gobiernos del mundo siguen prestando mucha atención a este peligro. La capacidad de las personas para comprar alimentos, llenar sus autos con gasolina y recibir atención médica se ha visto afectada por el ransomware. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

En los últimos años, los efectos financieros del ransomware también se han vuelto más notorios. Los ataques contra las cadenas de suministro causan un daño más extenso que los ataques a una sola persona. Para frenar la propagación de los ataques de ransomware, el gobierno y las empresas tecnológicas también han intensificado su respuesta. Ver también: Alejandro Estua.

Historia de los ataques de ransomware

El ransomware se remonta a 1989, cuando el "virus AIDS" se utilizó para extorsionar a las víctimas del ransomware. Los pagos de ese ataque se enviaban por correo a Panamá, y luego se enviaba una clave de descifrado al usuario. Ver también: Alejandro Manzo.

En 1996, Moti Yung y Adam Young, de la Universidad de Columbia, introdujeron el ransomware conocido como "extorsión criptoviral". Esta idea, nacida en el ámbito académico, ilustró la progresión, la fuerza y la creación de herramientas criptográficas modernas. Young y Yung presentaron el primer ataque de criptovirología en la Conferencia de Seguridad y Privacidad del IEEE de 1996. Su virus contenía la clave pública del atacante y encriptaba los archivos de la víctima. El malware incitaba luego a la víctima a enviar texto cifrado asimétrico al atacante para que lo descifrara y devolviera la clave de descifrado, a cambio de una tarifa. Ver también: Alejandro Hernandez.

Lea también: ¿Cómo funcionan los vehículos autónomos?

Industrias afectadas

Los ataques de ransomware suelen dirigirse a instituciones y organizaciones críticas, como las de salud, finanzas, manufactura y gobierno. En algunos casos, además de otros impactos, los ataques de ransomware provocan mayores tasas de mortalidad en las instituciones de salud. Dado que la manufactura incluye varios tipos de producción, como productos metálicos, automóviles y equipos industriales, también es un sector muy atacado por el ransomware. Las instituciones financieras también son atacadas con frecuencia. En estos casos, los atacantes también buscan robar dinero y una gran cantidad de datos confidenciales de los usuarios. Hasta mayo de 2024, según las estadísticas de Camparitech, hay un total de 4013 incidentes con un rescate promedio de 408.044$. Los siguientes son los 5 principales objetivos de ransomware por industria en 2024: educación, construcción y propiedad, gobierno central y federal, medios de comunicación, entretenimiento y ocio, y gobierno local y estatal.

De dónde provienen la mayoría de los ataques de ransomware

La mayoría del ransomware no es propagado por un individuo; más bien, ciertos grupos maliciosos desarrollan, perfeccionan y distribuyen el software de ransomware. Según el Informe de Defensa Digital de Microsoft, la mitad de estos grupos provienen de Rusia. Irán y Corea del Norte son otros focos comunes de grupos de ransomware, siendo Estados Unidos el objetivo más común.

Conocer los orígenes comunes de las nuevas cepas de ransomware puede ayudar a las organizaciones a defenderse de un ataque. Estos son actores patrocinados por el estado, organizaciones criminales e investigadores de seguridad que no siempre piensan bien las cosas. Ver también: Alejandro Garza.

1. Actores patrocinados por el estado

En este escenario, los actores maliciosos reciben apoyo monetario, técnico y de otro tipo de un organismo gubernamental para crear una nueva amenaza de ransomware. Luego, esos actores utilizan el ransomware para llevar a cabo un ataque que favorece los intereses del organismo gubernamental. Dado que el organismo gubernamental no lanzó el ataque en sí mismo, puede intentar aprovechar ese hecho para una negación plausible, aumentando así los costos políticos si otro estado desea tomar represalias. Ver también: Alejandro Guerrero.

En mayo de 2021, The Hacker News informó que investigadores de seguridad habían detectado una campaña de ransomware patrocinada por el estado, operada por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Quienes detectaron la campaña sospecharon que el IRGC la estaba utilizando como una técnica de subterfugio para imitar las tácticas, técnicas y procedimientos (TTP) de los grupos de ransomware con motivaciones financieras, dificultando así la atribución.

2. Organizaciones criminales digitales

No todas las operaciones de ransomware reciben apoyo directo de una agencia gubernamental. Pero el apoyo puede llegar de muchas maneras. Estos "corsarios", como señala Threatpost, actúan según sus agendas financieras mientras disfrutan de cierta protección de los organismos gubernamentales.

Según The Washington Post, los desarrolladores de REvil parecen tener su base en Rusia, un país que históricamente ha hecho la vista gorda ante los grupos de delitos digitales que operan dentro de sus fronteras. Los creadores del ransomware utilizaron esa protección para formar un esquema de RaaS en el que se llevaban el 20-30% del pago del rescate, mientras que los afiliados se quedaban con el resto por ejecutar los ataques, robar los datos y detonar el cripto-malware. Con ese acuerdo, la banda REvil terminó ganando 100 millones de dólares en dos años.

3. Investigadores de seguridad que no piensan bien las cosas

A lo largo de los años, los investigadores de seguridad han desarrollado a veces programas similares al ransomware con "fines educativos". Tal fue el caso de Hidden Tear. En el momento de su aparición en agosto de 2015, su creador advirtió a los usuarios que "no lo usaran como ransomware", aclarando que "irían a la cárcel por cargos de obstrucción a la justicia solo por ejecutar Hidden Tears, aunque sean inocentes".

Lea también: ¿Quién es Jeff Weiner? El ex CEO de LinkedIn personifica la ‘gestión compasiva’

Tendencias del ransomware que continuarán en 2024

Algunas tendencias clave del ransomware han surgido en los últimos años y probablemente continuarán en 2024 y más allá. Estas son algunas de las principales tendencias del ransomware en los últimos años: Ver también: Alec Gramont.

Ataques a la cadena de suministro: En lugar de atacar a una sola víctima, los ataques a la cadena de suministro amplían el radio de explosión. Un ejemplo fue una explotación en el producto de software Moveit Transfer de Progress Software que provocó ataques de ransomware a gran escala por parte de la banda de ransomware Clop. En los últimos años ha habido múltiples incidentes de este tipo, incluido el ataque a Kaseya, que afectó al menos a 1.500 de sus clientes proveedores de servicios gestionados, y el hackeo de SolarWinds.

Triple extorsión: En el pasado, el ransomware consistía en que los atacantes encriptaban la información de un sistema y luego exigían un rescate a cambio de una clave de descifrado. Con la doble extorsión, los atacantes también exfiltran los datos a una ubicación separada. Con el ransomware de triple extorsión, los atacantes también amenazan con filtrar los datos si no se paga. La triple extorsión ha sido utilizada por múltiples actores de amenazas, incluido Vice Society en un ataque contra el sistema de tránsito rápido del área de la bahía de San Francisco. Ver también: La chipflación de la IA estrangula a los fabricantes de dispositivos más allá de los centros de datos.

Ransomware como Servicio (RaaS): Atrás quedaron los días en que cada atacante tenía que escribir su propio código de ransomware y ejecutar un conjunto único de actividades. El RaaS es malware de pago por uso. Permite a los atacantes utilizar una plataforma que proporciona el código de ransomware necesario y la infraestructura operativa para lanzar y mantener una campaña de ransomware.

El ransomware es un tipo de malware que puede encriptar todos tus datos o bloquearte el acceso a tu computadora. El ransomware tampoco va a desaparecer pronto. Es probable que el ransomware siga evolucionando de diferentes maneras. La mejor forma de defenderse del ransomware es reconocer y evitar los intentos de phishing, instalar software antivirus en tu computadora y hacer copias de seguridad de todos tus archivos.