Las empresas y las autoridades son víctimas reiteradas de la ciberextorsión, los llamados ataques de ransomware. ¿Cómo funciona esta forma de ciberdelito y quién está detrás?
Un ciberataque paralizó el oleoducto más importante de la costa este estadounidense: los ciberdelincuentes fueron los responsables.
¿Qué es el ransomware?
El ransomware es malware diseñado para encriptar computadoras y servidores. Los ciberdelincuentes las utilizan para encriptar los sistemas informáticos de la víctima de la forma más completa posible para que los equipos dejen de funcionar. Luego exigen un rescate. Si la víctima paga, los delincuentes les dan una herramienta para descifrar los datos.
Dado que este tipo de extorsión funciona mal con buenos sistemas de respaldo, numerosos grupos de ransomware han comenzado a copiar los datos antes de cifrarlos. Luego, también amenazan a la víctima, en su mayoría empresas o autoridades, con publicar los datos comerciales, a veces confidenciales, si no pagan el rescate.
El ransomware ha experimentado un gran auge en los últimos años y se ha convertido en un negocio de miles de millones de dólares. Es fácilmente escalable y presenta poco riesgo para los ciberdelincuentes. Los grupos de ransomware a menudo operan desde países con los que la cooperación policial internacional es deficiente. Muchos grupos provienen de Rusia, donde las autoridades locales les permiten hacer lo suyo o incluso puede haber vínculos con agencias gubernamentales.
¿Por qué los ataques de ransomware son tan peligrosos?
Los grupos de ransomware siguen atacando hospitales, proveedores de energía y empresas de logística. En el peor de los casos, tales ataques a infraestructuras críticas perjudican el funcionamiento de un país. Puedes una amenaza para la seguridad nacional ser.
Un hospital cerca de París, por ejemplo, tuvo que cerrar en diciembre de 2022 debido a un ataque de ransomware Cancelar operaciones y transferir pacientes. No se puede descartar que un fallo de los sistemas informáticos pueda incluso poner en peligro vidas humanas. Después de un ataque a la clínica universitaria de Düsseldorf, una ambulancia tuvo que ser rechazada en 2020. Como resultado, el paciente murió, pero ¿qué según una investigación no se debió a la demora.
causó revuelo mundial en mayo de 2021 el ataque al oleoducto colonial de EE. UU. cuidado. La empresa operadora tuvo que cerrar el oleoducto durante varios días, lo que provocó cuellos de botella en las gasolineras de la costa este de Estados Unidos. Los sistemas de TI solo pudieron volver a ponerse en funcionamiento después de que se pagara un rescate de alrededor de 5 millones de dólares en criptomonedas. Entonces, el gobierno estadounidense le dio la máxima prioridad a la lucha contra los grupos de ransomware.
Otro aspecto peligroso de los grupos de ransomware es su poder financiero. Debido a que su modelo de negocios es tan lucrativo, pueden permitirse métodos que solía estar reservado para los actores estatales. Estos incluyen ataques a la cadena de suministro de software, es decir, a los fabricantes de software ampliamente utilizado, o el uso de brechas de seguridad críticas (día cero) que aún no se han solucionado. Si los ataques son más sofisticados, la defensa se vuelve más difícil.
¿Quién está detrás de los ataques de ransomware?
El ransomware es una forma de crimen organizado. Numerosos grupos profesionales trabajan juntos en una red internacional.
Muchas pandillas, o al menos sus autores intelectuales, provienen de países donde están protegidas de las fuerzas del orden extranjeras. Estos incluyen, en particular, Rusia, Corea del Norte e Irán.
Sin embargo, para sus ataques, los ciberdelincuentes también utilizan servidores en las regiones donde se encuentran sus objetivos, por ejemplo, en Europa occidental o en los EE. UU. Además, de ninguna manera todos los ciberdelincuentes provienen de los países mencionados, ya que las autoridades encargadas de hacer cumplir la ley logran arrestos repetidamente, por ejemplo en otoño de 2021 también en Suiza.
En algunos casos, el crimen organizado también tiene vínculos con agencias gubernamentales. El estado de Corea del Norte utiliza el ciberdelito por ejemplo, como un medio para obtener divisas. En presuntos ataques criminales contra Israel el estado iraní podría estar detrás de esto.
En Rusia, también se supone que al menos algunos de los grupos de ransomware también realizan ataques individuales en nombre del estado. Después de que las tropas rusas invadieran Ucrania en febrero de 2022 el grupo de ransomware Conti, por ejemplo, tomó una posición política a favor del Kremlin.
¿Cómo se organizan los ciberdelincuentes?
Los ataques de ransomware tienden a involucrar a pandillas con nombres elegantes: Darkside, BlackMatter, REvil, Vice Society o LockBit. Pero la imagen de grupos homogéneos que emerge es errónea. En torno al ransomware se ha formado todo un ecosistema, en el que los ciberdelincuentes se han especializado en tareas concretas.
En el centro están los desarrolladores del ransomware, quienes producen el producto de software real para el cifrado. Estos grupos suelen ofrecer su software de encriptación como servicio («ransomware como servicio»). Esto significa que los atacantes reales alquilan el ransomware a los desarrolladores.
Si tiene éxito, los desarrolladores reciben una parte del rescate. En el Grupo Darkside, quién fue el responsable del ataque al oleoducto en el este de los EE.UU., fue esta parte entre el 10 y el 25 por ciento, dependiendo del monto del rescate.
Otros delincuentes se han especializado en piratear sistemas informáticos. Venden sus puertas traseras y acceden a computadoras y servidores en mercados de la web oscura. Los analistas estiman la fortaleza financiera de una víctima potencial, lo que determina el precio del acceso pero también determina el monto del rescate.
Si una víctima paga la cantidad requerida, el dinero debe ser transferido y lavado. A su vez, entran en juego especialistas que utilizan los llamados “mixers” para encubrir el origen de los montos vía criptomonedas.
Los involucrados en esta «cadena de valor del ransomware» generalmente no se conocen entre sí. Se comunican de forma anónima a través de Internet y se pagan entre sí por sus servicios en criptomonedas. Debido a que las criptomonedas juegan un papel central en el ciberdelito, También se está discutiendo una regulación más estricta de estas transacciones para poder contener ransomware.
¿Quién es el objetivo de los ataques de ransomware?
El objetivo puede ser cualquier persona que dependa de los sistemas y datos de TI. Estos incluyen particulares, PYMES o grandes corporaciones internacionales, pero también organizaciones gubernamentales como escuelas, fuerzas policiales u hospitales.
A veces, los delincuentes eligen objetivos particularmente valiosos. Estas pueden ser empresas o instituciones donde una falla en el sistema cause un daño económico importante. Estos probablemente estén más dispuestos a pagar el rescate exigido. Durante la pandemia de Covid, por ejemplo, los hospitales entraron en foco.
No solo se ven afectadas las empresas del sector digital, sino a menudo también las empresas industriales. Los destinos populares incluyen empresas innovadoras, así como líderes de mercado relativamente desconocidos en un área determinada, por ejemplo, en tecnología médica. Estas empresas son interesantes porque su información técnica de producción o detalles comerciales también se pueden vender en el mercado negro. Hay muchos de ellos en Alemania o Suiza.
Otro factor es la seguridad informática. Aquellos que están menos protegidos contra los ataques cibernéticos tienen más probabilidades de ser víctimas del ransomware. Porque los atacantes también utilizan vulnerabilidades técnicas o contraseñas débiles para penetrar en los sistemas informáticos.
¿Cómo funciona un ataque de ransomware?
Un ataque de ransomware se puede dividir aproximadamente en tres fases: intrusión, reconocimiento y extorsión.
Penetración: Al principio está la búsqueda de una víctima adecuada. Los ciberdelincuentes pueden proceder de diferentes maneras. Puede utilizar la investigación para identificar víctimas potencialmente interesantes y dirigirse específicamente a ellas, por ejemplo, con correos electrónicos de phishing. Pero también puede difundir ampliamente su ataque de phishing y esperar víctimas adecuadas.
Otra opción es buscar automáticamente sistemas que tengan vulnerabilidades de TI conocidas y luego, en un segundo paso, identificar los objetivos interesantes. Los grupos de ransomware a veces compran acceso a las redes de TI de víctimas potenciales en mercados especializados en la dark web.
reconocimiento Una vez que los ciberdelincuentes tienen acceso al sistema de la víctima, comienzan a buscar en la red. Para ello, es posible que los atacantes también tengan que superar otros obstáculos de seguridad.
El objetivo es encontrar los datos interesantes de una organización. Pueden ser ofertas, datos de clientes o información técnica secreta de productos de una empresa. Los correos electrónicos o documentos de la gerencia también son un objetivo que vale la pena. Los atacantes recopilan estos datos y los extraen del sistema informático de la víctima para que también puedan amenazar con publicarlos más tarde.
Para cifrar todo el sistema informático en la medida de lo posible, los atacantes comienzan a extenderse. Se presta especial atención a las copias de seguridad, que también están encriptadas. Esto puede dificultar que la empresa restaure los datos de las copias de seguridad.
Chantaje: Una vez que los atacantes se han propagado por la red y han copiado los datos interesantes, cifran los sistemas de la víctima. Por lo general, dejan una nota de rescate. El tamaño del rescate varía según el valor de los datos capturados y las capacidades financieras de la víctima.
Sobre el tamaño del rescate por lo general se puede negociar. Si la víctima paga la cantidad requerida, los delincuentes le proporcionan un software para descifrar los datos. Sin embargo, estas herramientas no siempre funcionan sin problemas, pueden ser lentas o fallar con las bases de datos.
¿Qué daño causa el ransomware?
Dado que muchos ataques de ransomware nunca se informan, el daño financiero es muy difícil de estimar. Una cosa está clara: el monto de los daños asciende a varios miles de millones de dólares al año. Y la tendencia va en aumento.
Solo en los EE. UU., se espera que los costos totales, es decir, el rescate y las consecuencias de los ataques, aumenten. ascendió a alrededor de 20 mil millones de dólares. Una décima parte de eso, alrededor de $ 2 mil millones, fue efectivamente a los chantajistas, según el cálculo aproximado. La mayor parte del daño lo causan a las víctimas la pérdida de producción, los costes de restauración de los sistemas informáticos y el daño reputacional.
Una mirada a los grupos individuales también muestra qué tan grande es el negocio para los ciberdelincuentes. Con el malware Ryuk, por ejemplo, los delincuentes recaudó más de $ 150 millones entre mediados de 2018 y finales de 2020. El grupo Darkside está programado para abrir en alrededor de ocho meses en 2021 rescates que ascienden a unos 90 millones de dólares.
¿Por qué los ataques de ransomware tienen tanto éxito?
Con el ransomware, los ciberdelincuentes han logrado desarrollar un modelo comercial universal. Porque casi todas las empresas y todas las autoridades de hoy dependen de una infraestructura de TI y de datos electrónicos en funcionamiento y, por lo tanto, son vulnerables al chantaje.
El hecho de que el ransomware pudiera convertirse en una amenaza fundamental para la economía se debe en gran parte a las deficiencias generalizadas en el sector de TI. Los estándares mínimos de seguridad y las estrategias de respaldo a menudo no se cumplen.
Un ejemplo destacado es el ataque al oleoducto estadounidense a principios de mayo. Se dice que los delincuentes ingresaron a través de acceso remoto, que no estaba suficientemente asegurado.
Para las bandas criminales, el bajo riesgo de ser atrapados y sentenciados por el chantaje también es atractivo. Que el trabajo de las fuerzas del orden es tan duro Esto se debe en parte a que algunos estados no cooperan internacionalmente en la lucha contra el ciberdelito.. Pero los investigadores a menudo carecen de los conocimientos, los recursos y el mandato claro para tomar medidas contra el ransomware con alta prioridad.