Pandillas de ransomware con sede en Rusia son algunos de los más prolíficos y agresivos, en parte gracias a un aparente puerto seguro que el gobierno ruso les extiende. El Kremlin no coopera con las investigaciones internacionales de ransomware y, por lo general, se niega a enjuiciar a los ciberdelincuentes que operan en el país siempre que no ataquen objetivos nacionales. Sin embargo, una pregunta de larga data es si estos piratas informáticos motivados financieramente alguna vez reciben directivas del gobierno ruso y en qué medida las pandillas están conectadas con la ofensiva de piratería del Kremlin. La respuesta empieza a ser más clara.
Una nueva investigación presentada hoy en la conferencia de seguridad Cyberwarcon en Arlington, Virginia, analiza la frecuencia y el objetivo de los ataques de ransomware contra organizaciones con sede en los Estados Unidos, Canadá, el Reino Unido, Alemania, Italia y Francia en el período previo a estos. elecciones nacionales de los países. Los hallazgos sugieren una alineación imprecisa pero visible entre las prioridades y actividades del gobierno ruso y los ataques de ransomware previos a las elecciones en los seis países.
El proyecto analizó un conjunto de datos de más de 4000 ataques de ransomware perpetrados contra víctimas en 102 países entre mayo de 2019 y mayo de 2022. Dirigido por Karen Nershi, investigadora del Observatorio de Internet de Stanford y el Centro para la Seguridad y Cooperación Internacional, el análisis mostró una estadísticamente aumento significativo en los ataques de ransomware de pandillas con sede en Rusia contra organizaciones en los seis países víctimas antes de sus elecciones nacionales. Estas naciones sufrieron la mayor cantidad de ataques de ransomware por año en el conjunto de datos, aproximadamente tres cuartas partes de todos los ataques.
“Usamos los datos para comparar el momento de los ataques de grupos que creemos que tienen su sede en Rusia y grupos que tienen su sede en cualquier otro lugar”, dijo Nershi a WIRED antes de su charla. “Nuestro modelo analizó la cantidad de ataques en un día determinado, y lo que encontramos es esta relación interesante en la que, para estos grupos con sede en Rusia, vemos un aumento en la cantidad de ataques que comienzan cuatro meses antes de las elecciones y avanzan tres, dos. , un mes después, hasta el evento.”
El conjunto de datos se extrajo de los sitios web oscuros que las pandillas de ransomware mantienen para nombrar y avergonzar a las víctimas y presionarlas para que paguen. Nershi y su colega investigadora Shelby Grossman, académica del Observatorio de Internet de Stanford, se centraron en los populares ataques de «doble extorsión» en los que los piratas informáticos violan una red objetivo y extraen datos antes de plantar ransomware para cifrar los sistemas. Luego, los atacantes exigen un rescate no solo por la clave de descifrado, sino también para mantener en secreto los datos robados en lugar de venderlos. Es posible que los investigadores no hayan capturado datos de todos los actores de doble extorsión y que los atacantes no publiquen sobre todos sus objetivos, pero Nershi dice que la recopilación de datos fue exhaustiva y que los grupos generalmente tienen interés en publicitar sus ataques.
Los hallazgos mostraron en términos generales que las pandillas de ransomware no rusas no tuvieron un aumento estadísticamente significativo en los ataques en el período previo a las elecciones. Mientras que dos meses antes de una elección nacional, por ejemplo, los investigadores encontraron que las organizaciones en los seis principales países víctimas tenían un 41 por ciento más de posibilidades de sufrir un ataque de ransomware de una pandilla con sede en Rusia en un día determinado, en comparación con la línea de base. .