Funcionarios estadounidenses de los Departamentos de Estado, Seguridad Nacional, Justicia e Inteligencia se reunieron hace unos días en la Casa Blanca. ¿El motivo? Evaluar acciones para tratar de detener los ataques de ransomware. La portavoz de la Casa Blanca, Jen Psaki, dijo que la gravedad de la situación actual en ciberseguridad requiere de un “esfuerzo de todo el Gobierno para actuar ante ese tipo de ciberataques”.
En el escenario político del país vecino crece la presión para que el presidente Joe Biden tome algunas medidas contra recientes ciberataques supuestamente originados en Rusia. El ransomware se ha vuelto una de las mayores amenazas para las compañías.
El mes pasado, REvil —grupo ruso que opera el modelo ransomware as a service (RaaS)— se culpó del ataque al procesador de carnes JBS que atiende a una quinta parte del mercado en EE.UU. Este viernes se supo que JBS pagó $11 millones de dólares en bitcoins para tratar de evitar un mayor impacto en restaurantes, carnicerías y granjas que confían en la compañía como proveedor.
Esta problemática crece cada vez más. Luego del ataque más reciente, REvil utilizó su página “Happy Blog” en la dark web para publicar datos privados de empresas a las que les han comprometido sus equipos para presionarlas a pagar un rescate. Incluso, se ha dicho que el grupo ofreció liberar públicamente la clave para desbloquear todos los datos de las empresas afectadas a quien haga un pago único de $70 millones de dólares.
División de trabajo en modelos RaaS
KELA, compañía que monitorea la Darknet, fragmento de internet al que sólo se puede tener acceso mediante aplicaciones específicas, presentó un estudio de tendencias de RaaS.
El ransomware se ha posicionado como una de las principales amenazas cibernéticas de 2021. Victoria Kivilevich, analista de Inteligencia de amenazas en KELA, afirma que, al más puro estilo de la cinta La gran estafa, hoy el cibercrimen recluta especialistas de diversas áreas. En un ataque de ransomware participan desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%).
Los investigadores de KELA han observado madurez en las operaciones actuales de ransomware. En los modelos de RaaS se han identificado servicios de acompañamiento en cuatro etapas diferentes: Algunos participantes se dedican al código; otros son responsables de infectar a las víctimas que se trazaron como objetivo; otro grupo mantiene el acceso a los equipos comprometidos o realizan acciones como ataques DDoS para intimidar a las víctimas y tratar de forzar el pago; mientras que otras personas monetizan el ataque. En este último grupo están quienes negocian con las compañías afectadas.
Sobre este punto, KELA registró diversas tramas en foros clandestinos de hablantes de ruso. Como si se tratara de una bolsa de trabajo, en ellos se buscaban negociadores. En marzo pasado, uno de los participantes solicitó un negociador para ponerse en contacto con los directivos.
Quien aspirara a la posición debía tener dominio de “inglés conversacional” para estar en condiciones de negociar con las víctimas, además de saber manejar situaciones de estrés en un ámbito de negocios. El pago ofrecido por ese trabajo oscilaba entre uno y cinco millones de dólares.
Prevención y monitoreo, un must ante el flagelo
De acuerdo con Kivilevich, el estudio de KELA recomienda que las organizaciones inviertan en ciertas actividades para confrontar a los grupos de RaaS. Lo primero es destinar recursos para crear conciencia de ciberseguridad en las compañías y entrenar a empleados y directivos clave para que sepan como manejar de manera segura sus credenciales y su información personal en línea. Además de prepararlos para estar siempre alertas y así poder identificar actividades sospechosas como correos fraudulentos o solicitudes inusuales de individuos no autorizados a pedir determinada información.
Otra acción recomendada es monitorear regularmente las vulnerabilidades, hacer las actualizaciones requeridas en los sistemas para proteger la infraestructura IT y evitar cualquier acceso no autorizado de brokers de acceso inicial o cualquier otro tipo de intrusos en la red corporativa.
Así mismo, se habló de la conveniencia de hacer un monitoreo dirigido y automatizado de recursos clave para identificar inmediatamente amenazas emergentes que puedan provenir del ecosistema clandestino del cibercrimen.
