Secuestro de información:la continua reinvención del ransomware

El ransomware merece una mención especial cuando se habla del malware. Este tipo de código malicioso mantuvo su actividad y efectividad durante 2020, entre otras razones, debido a las nuevas condiciones de trabajo en las organizaciones y a su continua reinvención. El uso de familias de ransomware en ataques dirigidos se consolidó durante el año pasado. Al cifrado de los archivos en los equipos comprometidos para demandar un pago como rescate por la información se le sumó la práctica conocida como doxing, es decir, el robo de información y la posterior extorsión bajo la amenaza de hacer públicos los datos sensibles exfiltrados. En conjunto, ambas acciones aumentan la posibilidad de monetizar los ciberataques. Además, se han agregado nuevas tácticas al modus operandi del ransomware, como lo que se ha denominado print bombing, que utiliza las impresoras disponibles en la red de las víctimas para imprimir la demanda del rescate. Otro medio de presión ejercido por las bandas de ciberdelincuentes son las “llamadas en frío” o cold calls al personal de las organizaciones afectadas que buscan evitar el pago del rescate respaldando su información, para intimarlos a pagar a través de amenazas y me-canismos de extorsión. Como si fuera poco, a las medidas utilizadas para ejercer presión a las víctimas de ransomware, se han agregado ataques DDoS sobre los sitios Web de las organizacio-nes afectadas, con el propósito de obligarlas a reanudar las negociaciones.La operación de los grupos de ransomware puede entenderse como amenazas per-sistentes ya que, en la mayoría de los casos, la ejecución del código malicioso re-sulta ser una de las últimas etapas de los ataques donde previamente fue compro-metida la información y la infraestructura tecnológica.Los grupos de ciberdelincuentes detrás de los ataques dirigidos se vuelven más agresivos, apuntando a todo tipo de organizaciones que van desde hospitales, uni-versidades, organismos gubernamentales, bancos, pequeñas, medianas y grandes empresas. Si bien algunos grupos de ransomware prometieron no atacar a las ins-tituciones de salud durante la pandemia, otros continúan apuntando a este sector crítico durante la contingencia sanitaria global.En los últimos meses de 2020 y primeros meses de 2021, se observaron probable-mente los montos más elevados vistos hasta la fecha en cuanto a los rescates soli-citados por los atacantes, haciendo del ransomware un negocio cibercriminal bas-tante lucrativo, como es el caso del modelo ransomware-as-a-service (RaaS), donde los desarrolladores del malware obtienen comisiones de los grupos que utilizan sus herramientas maliciosas.La tendencia a la baja identificada en los ataques de ransomware de difusión ma-siva puede ser atribuida a las ganancias superiores obtenidas mediante los ataques dirigidos, combinados con las tácticas ya mencionadas. Otra condición puede estar relacionada con el RaaS y el hecho de que diversas familias de ransomware son distribuidas por otros códigos maliciosos en instancias posteriores.Lo anterior también puede ser la razón por la que, a pesar de que familias de ranso-mware como Maze, Revil/Sodinokibi, DopplePaymer, NetWalker o Egregor han ocupado los titulares en los medios de comunicación en la región y a nivel global en el último año, no aparecen como las familias más detectadas.De hecho, durante 2020 WannaCry o WannaCryptor (56,4%) con sus característi-cas de gusano, fue la familia con mayor porcentaje de detección en Latinoamérica, seguida de STOP (12,2%), Crysis (7,4%), Phobos (4,7%) y Philadelphia (1,9%). Estas detecciones están vinculadas a hashes conocidos que continúan propagándose en redes con sistemas desactualizados.EL DOXING SE CONSOLIDÓ DURANTE 2020, CON VARIOS GRUPOS DE RANSOMWARE ADOPTANDO ESTA ESTRATEGIA QUE CONSISTE EN EL ROBO DE INFORMACIÓN Y LA AMENAZA DE PUBLICARLA EN CASO DE NO PAGAR EL RESCATE.