Conecta con nosotros

A Fondo

¿Sabes quién es quién en el mundo del ransomware?

Publicado el

Ransomware: parecería que en los últimos meses apenas se hable de otra cosa…y no solo en el mundo de la seguridad informática. Una búsqueda sin salir de MCPRO evidencia la magnitud del problema al que nos estamos enfrentando: solo en las últimas dos semanas, entre las víctimas de los cibercriminales se encuentran organismos públicos como el ministerio de Trabajo, multinacionales estratégicas como JBS, empresas tecnológicas como Fujifilm e incluso grandes infraestructuras como Colonial Pipeline, el mayor oleoducto de Estados Unidos.

Lejos de solucionarse, el del ransomware parece ser un problema que va a más. Sobre todo porque, como veremos a continuación, no solo hablamos de grupos de cibercriminales concretos, sino de toda una economía paralela, un auténtico «mercado de trabajo» en el que intervienen distintos actores.

Comprender quiénes se mueven en estos espacios opacos, cuáles son sus motivaciones y la forma en la que trabajan, es el primer paso para entender un fenómeno que, por su gravedad, el FBI ha situado al mismo nivel que el del terrorismo internacional responsable de los ataques a las Torres Gemelas el 11-S. Veamos, con la ayuda de Bloomberg, quién es quién en el mundo del ransomware.

Los hackers

El primer paso en cualquier ataque de ransomware lo dan los hackers. Son los que gracias al uso de credenciales robadas, o software especializado en intrusión en otros sistemas, consiguen acceder a la infraestructura de red y/o servidores de la víctima.

Esto no quiere decir sin embargo, que sean ellos los que vayan a realizar el ataque. Como si de un cerrajero se tratara, se aseguran de que saben abrir la puerta. A menudo sin embargo, las llaves se las venden a otros grupos interesados.

Los operadores

El mundo del ransomware ha evolucionado tan rápido en los últimos años y se ha vuelto tan sofisticado, que ha creado una sub-economía propia en la que distintos grupos de cibercriminales compran, venden y cooperan entre sí.

En este espacio, Bloomberg define los operadores como grupos especializados en el desarrollo de software apropiado para llevar a cabo ataques de ransomware. A veces por supuesto, son los mismos que acaban por realizar un ataque. Pero cada vez más a menudo, se limitan a vender su software a otros grupos de cibercriminales. Hablaríamos en este sentido de un auténtico modelo de negocio «ransomware as a service». Grupos como Maze o Netwalker son pioneros en este campo.

Los infiltrados

Tras haber obtenido acceso a una red (hackers) y contar con el software apropiado (operadores), los infiltrados son los cibercriminales que acaban por entrar en el sistema y comienzan el proceso de reconocimiento de la red. Un vez más, estos pueden ser a la vez hackers y/o operadores, o constituir grupos aparte.

Este proceso se desarrollará durante todo el tiempo que sea necesario (desde unos pocos días a varios meses) para identificar y robar los datos más lucrativos de la red infectada. Una vez que este proceso se completa, se ejecuta el ataque ransomware que bloquea y/o cifra los datos de la víctima.

A esta víctima, que pierde el acceso a sus datos, se le pide a continuación el pago de un rescate (normalmente en forma de criptomonedas), a cambio de una clave que le permita recuperar su información más preciada.

La fuerza bruta

Que una organización haya sido atacada con éxito, no garantiza que esté dispuesta a pagar el rescate. Así que si no lo hace en lo que los atacantes consideran un periodo de tiempo «razonable», resulta habitual que se pongan en contacto con otros grupos cuya función básicamente no es otra que intimidar a las víctimas.

Las tácticas incluyen desde mails amenazantes a los empleados, a llamadas a los proveedores y principales clientes de la empresa, a «interrupciones» en las cadenas de suministro.

Los abogados

Uno de los primeros pasos suele dar la empresa que ha sido atacada es ponerse en contacto con un abogado especializado. Entre los temas a tratar se incluyen determinar a quién hay que informar de lo acontecido, si un posible pago a los atacantes puede infringir algún tipo de legislación y el coste que tendría infringir esas leyes.

El Plan B

En ocasiones se puede salir de un ataque de ransomware sin necesidad de pagar nada y recuperar la información comprometida. Para ello, en primer lugar, es necesario contar con una buena política de copias de seguridad.

A la vez, empresas como Mandiant, CrowdStrike o incluso, la propia Microsoft disponen de herramientas y personal especializado capaz de determinar el origen del ataque, evitar que ese vector vuelva a ser atacado y recuperar la información. Todo ello, sin necesidad de pagar a los ciberatacantes.

Los seguros

Si pese a los esfuerzos realizados no es posible recuperar la información o asegurarse de que el ataque se repita de nuevo, muchas compañías llegan a la conclusión de que no tienen más remedio que conceder el rescate.

En este terreno, y teniendo en cuenta lo comunes que se han vuelto estos ataques, ha crecido el número de compañías de seguros que ofrecen productos específicamente diseñados para dar respuesta a esta eventualidad y que cubren total o parcialmente el pago.

La lavandería

Una vez que se acepta pagar el rescate, a menudo la víctima se ve en la posición tener que realizar el pago en criptomonedas, utilizando para ello un wallet. Esto sin embargo, no basta para asegurar el anonimato de los cibercriminales.

Una vez que se recibe el dinero, estos grupos acuden a especialistas en lavar dinero, que diluyen el nuevo ingreso entre otras fuentes de criptomonedas tantas veces, que finalmente se pierde el origen de la transacción y todo rastro.

Desencriptadores

Una vez que se produce el pago, las víctimas suelen recibir (aunque en realidad no tienen ninguna garantía) una llave digital con la que recuperar el acceso a sus datos.

Sin embargo, las cosas no siempre son tan fáciles. Incluso si la llave funciona, volver a estar operativos es complicado. Muchos archivos pueden haberse desplazado o las aplicaciones no funcionar como deberían. Esto también ha motivado que existan empresas que se encargan precisamente de eso: de poner orden una vez se intenta volver a la «normalidad» tras un ataque.

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Lo más leído