From the shadows: The pursuit of ransomware attackers

• Los atacantes de ransomware ocultan sus identidades detrás de capas de cifrado, VPN y redes Tor, lo que complica los esfuerzos de identificación.
• Las variaciones en los marcos legales, protocolos diplomáticos y procedimientos de extradición entre países impiden una colaboración fluida entre las agencias de aplicación de la ley.
• Los atacantes de ransomware emplean tácticas sofisticadas, incluidos exploits de día cero y malware polimórfico, para evadir la detección.

Los ataques de ransomware se han convertido en una amenaza generalizada en el panorama digital actual, dirigidos a individuos, empresas y entidades gubernamentales con consecuencias devastadoras. A pesar de los esfuerzos de las agencias de aplicación de la ley y los expertos en ciberseguridad para combatir estos delitos cibernéticos, capturar a los atacantes de ransomware sigue siendo un desafío formidable. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

¿Qué es el ransomware?

Ransomware, una forma de malware, está diseñado para robar y cifrar archivos, datos confidenciales o información de identificación personal (PII), haciéndolos inaccesibles para las víctimas a menos que se pague un rescate. Explotando tácticas de extorsión, los atacantes de ransomware comúnmente apuntan a individuos u organizaciones con medidas de seguridad laxas o vulnerabilidades no parcheadas, inyectando software malicioso en sus computadoras o dispositivos móviles para ejecutar la carga útil del ransomware.

Recuperar archivos cifrados sin una clave de descifrado es extremadamente difícil, lo que conlleva graves consecuencias para las empresas que dependen de datos cifrados para sus operaciones diarias. El incumplimiento de las demandas de rescate dentro de un plazo específico puede resultar en la pérdida permanente de archivos o su exposición pública. Ver también: Alejandro Estua.

Actualmente, muchos ciberdelincuentes exigen criptomonedas como Bitcoin para los pagos de rescate, aprovechando su naturaleza descentralizada para ocultar las transacciones financieras. A pesar de los desafíos de rastrear los pagos de rescate en la cadena de bloques de criptomonedas, sigue siendo factible. Ver también: Alejandro Manzo.

Lea también: 5 tipos principales de ataques de ransomware

¿Por qué es tan difícil atrapar a los atacantes de ransomware?

Los atacantes de ransomware a menudo operan de forma anónima, ocultando sus identidades detrás de capas de cifrado y tecnologías de anonimización como las redes privadas virtuales (VPN) y las redes Tor. El uso de criptomonedas para los pagos de rescate añade otra capa de anonimato, lo que dificulta rastrear las transacciones financieras e identificar a los perpetradores. Ver también: Alejandro Hernandez.

Los ataques de ransomware con frecuencia se originan en jurisdicciones extranjeras, lo que complica el proceso de investigación debido a los desafíos jurisdiccionales internacionales. Las barreras legales, los protocolos diplomáticos y las diferencias en los marcos legales entre países impiden la extradición de sospechosos y la coordinación entre las agencias de aplicación de la ley. Ver también: Alejandro Garza.

Los atacantes de ransomware emplean tácticas sofisticadas para evadir la detección, incluidos exploits de día cero, malware polimórfico y técnicas de ingeniería social. Los métodos de cifrado avanzados dificultan que los expertos en ciberseguridad descifren archivos o identifiquen vulnerabilidades en el código del malware, lo que prolonga el proceso de investigación. Ver también: Alejandro Guerrero.

Lea también: Consecuencias imprescindibles de los ataques de ransomware

¿Se atrapa a los atacantes de ransomware?

Europol, junto con agencias internacionales de aplicación de la ley, ha desarticulado una red de ciberdelincuentes responsable de numerosos ataques de ransomware desde 2019, dirigidos a más de 1800 víctimas en 71 países. Tras una investigación de dos años, en 2021, se llevaron a cabo redadas en Ucrania y Suiza dirigidas a 12 personas asociadas con los ataques. Los delincuentes, conocidos por apuntar a grandes corporaciones, utilizaron cepas de ransomware como LockerGoga, MegaCortex y Dharma, así como malware como TrickBot y herramientas de post-explotación para evadir la detección y explotar vulnerabilidades en las redes de TI. Europol se incautó de 52.000 dólares en efectivo y cinco vehículos de lujo del grupo.

A finales de 2021, el Departamento de Justicia de los Estados Unidos tomó medidas contra dos ciudadanos extranjeros involucrados en el despliegue del ransomware Sodinokibi/REvil, acusándolos de realizar ataques a empresas y entidades gubernamentales. Yaroslav Vasinskyi, un ciudadano ucraniano de 22 años, fue acusado de llevar a cabo ataques de ransomware, incluido el ataque a Kaseya de julio de 2021.

Además, se incautaron 6,1 millones de dólares en fondos vinculados a los pagos de rescate recibidos por Yevgeniy Polyanin, un ciudadano ruso de 28 años. Ambos acusados enfrentan cargos de conspiración para cometer fraude, daños a computadoras protegidas y lavado de dinero. Vasinskyi fue arrestado en Polonia a la espera de su extradición a los Estados Unidos, mientras que Polyanin permanece en el extranjero. Ver también: Alec Gramont.

Y en mayo de 2024, Vasinskyi fue sentenciado a más de 13 años de prisión en Texas.

Lea también: Los 5 mayores ataques de ransomware de la historia

En febrero de 2024, un esfuerzo global coordinado por agencias de aplicación de la ley ha llevado a la desarticulación del notorio grupo de ransomware LockBit, con el arresto de dos individuos y la incautación de 200 cuentas de criptomonedas. Encabezada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido, la operación tuvo como objetivo a LockBit, conocido por proporcionar servicios de ransomware a afiliados involucrados en la infección de redes de víctimas.

La policía en Polonia y Ucrania realizó arrestos adicionales como parte de la operación. La operación, denominada “Operación Cronos”, involucró a una coalición de 10 países y resultó en la incautación del control de la infraestructura de LockBit y la divulgación de datos internos sobre el propio grupo. La acusación revelada imputa a Artur Sungatov e Ivan Kondratyev por usar el ransomware LockBit para atacar a víctimas en diversas industrias en múltiples países. Ver también: La chipflación de la IA estrangula a los fabricantes de dispositivos más allá de los centros de datos.