De dónde vienen los ataques de ransomware: 3 orígenes a nivel mundial

De dónde vienen los ataques de ransomware: 3 orígenes a nivel mundial es perfilado por BTW Media porque la evidencia publicada lo vincula con la infraestructura de internet, la gobernanza, las dependencias operativas o la visibilidad del mercado.

• Los 5 principales objetivos del ransomware por industria en 2024 incluyen educación, construcción y propiedad, gobierno central y federal, medios, entretenimiento y ocio, y gobierno local y estatal.
• Tres orígenes de las nuevas cepas de ransomware son actores patrocinados por el estado, organizaciones criminales e investigadores de seguridad que no siempre piensan bien las cosas.
• Los ataques a la cadena de suministro, la triple extorsión y el ransomware como servicio (RaaS) son las principales tendencias del ransomware en los últimos años.

Aunque elransomwareno es un riesgo de ciberseguridad completamente nuevo, los principales gobiernos del mundo siguen prestando mucha atención a este peligro. La capacidad de las personas para comprar alimentos, llenar sus coches con gasolina y recibir atención médica se ha visto afectada por el ransomware.

En los últimos años, los efectos financieros del ransomware también se han hecho más notorios. Los ataques contra la cadena de suministro causan daños más extensos que los ataques a un solo individuo. Para frenar la propagación de los ataques de ransomware, los gobiernos y las empresas tecnológicas también han intensificado su respuesta.

Historia de los ataques de ransomware

El ransomware se remonta a1989, cuando se utilizó el "virus AIDS"para extorsionar fondos a los destinatarios del ransomware. Los pagos de ese ataque se enviaban por correo a Panamá, momento en el cual se enviaba una clave de descifrado al usuario.

En 1996, Moti Yung y Adam Young, de la Universidad de Columbia, introdujeron el ransomware conocido como "extorsión criptoviral". Esta idea, nacida en el mundo académico, ilustró la progresión, la fuerza y la creación de herramientas criptográficas modernas. Young y Yung presentaron el primer ataque de criptovirología en la Conferencia de Seguridad y Privacidad del IEEE de 1996. Su virus contenía la clave pública del atacante y cifraba los archivos de la víctima. El malware luego incitaba a la víctima a enviar un texto cifrado asimétrico al atacante para descifrarlo y devolver la clave de descifrado, a cambio de una tarifa.

Lea también:¿Cómo funcionan los vehículos autónomos?

Industrias objetivo

Los ataques de ransomware suelen dirigirse a instituciones y organizaciones de misión crítica, como las de atención médica, finanzas, manufactura y gobierno. En algunos casos, junto con otros impactos, los ataques de ransomware causan tasas de mortalidad más altas en las instituciones de atención médica. Dado que la manufactura incluye varios tipos de producción, como productos metálicos, automoción y equipos industriales, también es un sector muy atacado por el ransomware. Las instituciones financieras también son atacadas con bastante frecuencia. En este caso, los atacantes aún pretenden robar dinero y una gran cantidad de datos confidenciales de los usuarios. Hasta mayo de 2024, según las estadísticas deComparitech, hay un total de 4013 ataques con un rescate promedio de 408.044 $. Los siguientes son los 5 principales objetivos del ransomware por industria en 2024: Educación, construcción y propiedad, gobierno central y federal, medios, entretenimiento y ocio, y gobierno local y estatal.

De dónde vienen la mayoría de los ataques de ransomware

La mayoría del ransomware no lo propaga un individuo; más bien, ciertos grupos maliciosos desarrollan, perfeccionan y distribuyen el software de ransomware. Según elInforme de Defensa Digital de Microsoft, la mitad de estos grupos provienen de Rusia. Irán y Corea del Norte son otros semilleros comunes de grupos de ransomware, siendo Estados Unidos el objetivo más común.

Conocer los orígenes comunes de las nuevas cepas de ransomware puede ayudar a las organizaciones a defenderse contra un ataque. Estos son: actores patrocinados por el estado, organizaciones criminales e investigadores de seguridad que no siempre piensan bien las cosas.

1. Actores patrocinados por el estado

En este escenario, los actores maliciosos reciben apoyo monetario, técnico y de otro tipo de un organismo gubernamental para crear una nueva amenaza de ransomware. Esos actores luego usan el ransomware para llevar a cabo un ataque que promueve los intereses del organismo gubernamental. Como el organismo gubernamental no lanzó el ataque por sí mismo, puede intentar aprovechar ese hecho para una negación plausible, elevando así los costos políticos en caso de que otro estado desee tomar represalias.

En mayo de 2021, TheHacker Newsescribió que los investigadores de seguridad habían detectado una campaña de ransomware patrocinada por el estado operada por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Quienes detectaron la campaña sospecharon que el IRGC la estaba utilizando como una técnica de subterfugio para imitar las tácticas, técnicas y procedimientos (TTPs) de los grupos de ransomware con motivación financiera, para dificultar la atribución.

2. Organizaciones criminales digitales

No todas las operaciones de ransomware reciben apoyo directo de una agencia gubernamental. Pero el apoyo puede llegar de muchas maneras. Estos "corsarios", como señalóThreatpost, actúan de acuerdo con sus agendas financieras mientras gozan de cierta protección de los organismos gubernamentales.

Según TheWashington Post, los desarrolladores de REvil parecen tener su base en Rusia, un país que históricamente ha hecho la vista gorda ante los grupos de delitos digitales que operan dentro de sus fronteras. Los creadores del ransomware aprovecharon esa protección para formar un esquema de RaaS en el que se llevaban el 20-30 % de los pagos de rescate, y los afiliados se quedaban con el resto por ejecutar los ataques, robar los datos y detonar el cripto-malware. Gracias a ese acuerdo, la banda REvil terminó ganando 100 millones de dólares en dos años.

3. Investigadores de seguridad que no piensan bien las cosas

A lo largo de los años, los investigadores de seguridad han desarrollado a veces programas similares al ransomware con "fines educativos". Tal fue el caso deHidden Tear. En el momento de su aparición en agosto de 2015, su creador advirtió a los usuarios que "no lo usaran como ransomware", aclarando que "irían a la cárcel por cargos de obstrucción a la justicia solo por ejecutar Hidden Tears, aunque sean inocentes".

Lea también:¿Quién es Jeff Weiner? El ex CEO de LinkedIn personifica la 'gestión compasiva'

Tendencias del ransomware que continuarán en 2024

En los últimos años han surgido algunas tendencias clave del ransomware que probablemente continuarán en 2024 y más allá. Estas son algunas de las principales tendencias del ransomware en los últimos años:

Ataques a la cadena de suministro: en lugar de atacar a una sola víctima, los ataques a la cadena de suministro amplían el radio de afectación. Un ejemplo de ello fue un exploit en elsoftware Moveit Transferde Progress Software, que dio lugar a ataques de ransomware a gran escala por parte de la banda de ransomware Clop. En los últimos años ha habido múltiples incidentes de este tipo, incluido elataque a Kaseya, que afectó al menos a 1.500 de sus clientes proveedores de servicios gestionados, y elhackeo de SolarWinds.

Triple extorsión: en el pasado, el ransomware consistía en que los atacantes cifraban la información encontrada en un sistema y luego exigían un rescate a cambio de una clave de descifrado. Con la doble extorsión, los atacantes también exfiltran los datos a una ubicación separada. Con el ransomware de triple extorsión, los atacantes también amenazan con filtrar los datos a menos que se les pague. La triple extorsión ha sido utilizada por múltiples actores de amenazas, incluido Vice Society en un ataque contra el sistema de transporte rápido del Área de la Bahía de San Francisco (BART).

Ransomware como servicio (RaaS): Ya pasaron los días en que cada atacante tenía que escribir su propio código de ransomware y ejecutar un conjunto único de actividades. El RaaS es malware de pago por uso. Permite a los atacantes usar una plataforma que proporciona el código de ransomware y la infraestructura operativa necesarios para lanzar y mantener una campaña de ransomware.

El ransomware es un tipo de malware que puede cifrar todos tus datos o bloquearte el acceso a tu computadora. El ransomware tampoco terminará pronto. Es probable que el ransomware continúe evolucionando de varias maneras. La mejor manera de defenderse contra el ransomware es reconocer y evitar los intentos de phishing, instalar software antivirus en tu computadora y hacer copias de seguridad de todos tus archivos.