Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo el ransomware dirige la economía sumergida

[19/11/2021] La atención no deseada que han atraído recientemente los ataques de ransomware ha provocado que varios de los principales foros de delincuencia cibernética prohibieran a principios de este año las discusiones y transacciones sobre ransomware en sus plataformas. Aunque algunos esperaban que esto tuviera un impacto significativo en la capacidad de los grupos de ransomware para organizarse, las prohibiciones solo empujaron su actividad a la clandestinidad, haciendo más difícil su seguimiento por parte de los investigadores de seguridad y las empresas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

En todo caso, los ataques de los meses siguientes a las prohibiciones de los foros han sido más potentes y audaces que nunca. Lo cierto es que el ransomware es la sangre de la economía del crimen cibernético y se necesitarán medidas extraordinarias para acabar con él. Los grupos que coordinan los ataques están muy profesionalizados y, en muchos aspectos, se asemejan a las estructuras corporativas modernas, con equipos de desarrollo, departamentos de ventas y relaciones públicas, y contratistas externos y proveedores de servicios que obtienen una parte de las ganancias ilegales. Incluso utilizan la jerga empresarial en sus comunicaciones con las víctimas, refiriéndose a ellas como clientes que compran sus servicios de descifrado de datos.

"La forma en que lo describo es: tiene el mundo empresarial que todo conocemos. Los delincuentes tienen uno paralelo que es como el Upside Down de Stranger Things. Es exactamente el mismo mundo, solo que más oscuro y retorcido", explica Steve Ragan, investigador de seguridad de Akamai.

Una economía sumergida basada en el ransomware

Si se observa lo que está involucrado en las operaciones de ransomware y la manera en la que se organizan los grupos, es fácil ver que el ransomware está en el centro de la economía de la delincuencia cibernética. Los grupos de ransomware emplean a personas que:

  • Escriben programas de cifrado de archivos (el equipo de desarrollo)
  • Establecen y mantienen los sitios de pago y de filtración, y los canales de comunicación (el equipo de infraestructura de TI)
  • Anuncian el servicio de ransomware en foros (el equipo de ventas) 
  • Se comunican con los periodistas y publican mensajes en Twitter y anuncios en sus blogs (el equipo de relaciones públicas y medios sociales)
  • Negocian el pago de los rescates (el equipo de atención al cliente)
  • Realizan el hackeo manual y el movimiento lateral en las redes de las víctimas para desplegar el programa de ransomware, para obtener una parte de los beneficios (contratistas externos conocidos como afiliados o probadores de penetración)

Los afiliados suelen comprarle el acceso a las redes a otros delincuentes cibernéticos que ya han comprometido los sistemas con programas troyanos o botnets, o a través de credenciales robadas. Estos terceros se conocen como corredores de acceso a la red. Los afiliados también pueden comprar volcados de datos que contienen información de cuentas robadas o información interna que podría ayudar al reconocimiento del objetivo. Las bandas de ransomware también utilizan a menudo los servicios de correo electrónico de spam y hosts prueba de balas.

En otras palabras, hay muchas partes en el ecosistema de la delincuencia cibernética que directa o indirectamente ganan dinero gracias al ransomware. Así, no es raro que estos grupos se profesionalicen y funcionen de forma similar a las empresas, con inversores, gestores, marketing de productos, atención al cliente, ofertas de trabajo, asociaciones, etc. Es una tendencia que se ha ido consolidando lentamente a lo largo de los años.

"La delincuencia cibernética clandestina se ha convertido en una economía en sí misma en la que hay proveedores de servicios, creadores de productos, financieros y proveedores de infraestructuras", explica Brandon Hoffman, CISO de la empresa de seguridad Intel 471. "Es una economía como la nuestra, en la que hay todos estos proveedores y compradores de diferentes cosas. Al igual que en nuestra economía de libre mercado, al tener todos estos tipos diferentes de proveedores de servicios y productos disponibles, es natural que empiecen a unirse y construir un negocio juntos para ofrecer un paquete de servicios y bienes, como hacemos en la economía estándar. Por todo eso, estoy 100% seguro en que va en esa dirección, solo que nos resulta muy difícil demostrarlo".

"Hace años que sabemos que los delincuentes tienen un ciclo de vida de desarrollo de software igual que el resto de nosotros", anota Ragan. "Tienen marketing, relaciones públicas, mandos intermedios. Tienen personas responsables de los delincuentes de menor nivel que informan a los de mayor nivel. No es algo nuevo. Es solo que más gente está empezando a escucharlo y prestando atención a los paralelismos".

Los grupos de ransomware se adaptan a las presiones del mercado

Los ataques de ransomware han paralizado muchos hospitales, escuelas, servicios públicos, instituciones gubernamentales locales y estatales, e incluso departamentos de policía a lo largo de los años, pero el ataque de principios de mayo a Colonial Pipeline, el mayor sistema de oleoductos de productos refinados de Estados Unidos, marcó un hito.

La brecha, atribuida a un grupo de ransomware con sede en Rusia llamado DarkSide, obligó a la empresa a cerrar todo su sistema de oleoductos de gasolina por primera vez en sus 57 años de historia para evitar que el ransomware se extendiera a los sistemas de control críticos. Esto provocó escasez de combustible en toda la costa este de Estados Unidos. El incidente recibió una amplia atención en los medios de comunicación y en Washington, ya que puso de manifiesto la amenaza que supone el ransomware para las infraestructuras críticas, y suscitó debates sobre si este tipo de ataques debería clasificarse como una forma de terrorismo.

Incluso los operadores de DarkSide comprendieron la gravedad de la situación y anunciaron la introducción de la "moderación" para sus afiliados -los contratistas externos que realizan el hackeo y el despliegue del ransomware- alegando que quieren "evitar consecuencias sociales en el futuro". Pero ya era demasiado para los proveedores de servicios del grupo.

Solo unos días después del ataque, el administrador de XSS, uno de los mayores foros de delincuencia cibernética en ruso, anunció la prohibición de todas las actividades relacionadas con el ransomware en la plataforma, alegando "demasiadas relaciones públicas" y el aumento de los riesgos para la aplicación de la ley a un "nivel peligroso", según una traducción de la empresa de inteligencia de delincuencia cibernética Flashpoint.

Otros grupos de ransomware de alto perfil, como REvil, anunciaron inmediatamente políticas de moderación similares para sus afiliados, prohibiendo los ataques a instituciones sanitarias, educativas y gubernamentales, en un intento de controlar el daño en las relaciones públicas. Eso tampoco fue suficiente. Otros dos grandes foros de ciberdelincuencia, Exploit y Raid, no tardaron en prohibir las actividades de ransomware.

A raíz de esto, DarkSide anunció que iba a cerrar sus operaciones tras perder también el acceso a su blog, servidor de pagos, monedero de Bitcoin y otra infraestructura pública que tenía, alegando que su proveedor de hosting respondía solo con "a petición de las fuerzas del orden". Un mes después, el FBI anunciaría que consiguió recuperar los 4,4 millones de dólares en criptomonedas que Colonial Pipeline se vio obligada a pagar a los hackers para desencriptar sus sistemas y reanudar sus operaciones con normalidad.

La prohibición de las actividades de ransomware en los foros de delincuencia cibernética más populares fue un acontecimiento importante, porque durante muchos años estos foros sirvieron como el lugar principal donde los grupos de ransomware reclutaban afiliados. Estos foros ofrecen un medio fácil de comunicación pública y privada entre los delincuentes cibernéticos, e incluso proporcionan servicios de custodia de dinero para transacciones en las que las partes no se conocen entre sí, ni confían el uno en el otro.

Las prohibiciones también afectaron, en cierta medida, a las empresas de seguridad cibernética que vigilan estos foros para recopilar información sobre los actores de las amenazas y las nuevas amenazas. Aunque la mayoría de los investigadores de la delincuencia cibernética sabían que las prohibiciones de los foros no detendrían las operaciones de ransomware, algunos se preguntaron cuál sería su próximo movimiento. ¿Migrarían a foros menos populares? ¿Crearían sus propios sitios web para anunciarse y comunicarse con los afiliados? ¿Se trasladarían a programas de chat en tiempo real como Jabber o Telegram?

"Lo que se hizo fue trasladar esas discusiones a otros grupos privados", sostiene Ragan. "No van a desaparecer. Lo que hicieron fue salir del foco público. Durante mucho tiempo se pudo ver su reclutamiento, su desarrollo, sus discusiones, y el tipo de características en las que estaban trabajando. Ahora eso ha desaparecido. No vamos a ser capaces de predecir muchos cambios. Desgraciadamente, eso significa que no sabremos de las nuevas variantes o funciones hasta que la primera víctima sea atacada".

Según Ondrej Krehel, fundador y director general de la empresa de respuesta a incidentes y análisis forense digital LIFARS, las operaciones de ransomware no se vieron afectadas por las prohibiciones en los foros, porque la mayoría de los actores involucrados en estas actividades ya se comunicaban a través de grupos privados en Telegram y Threema que existían desde hacía dos o tres años.

Todavía había algo de tracción en los foros, como parte de los esfuerzos de marketing, pero si realmente queríamos conseguir algo más concreto, tendríamos que formar parte de estos grupos y algunos requieren pagar una fracción de Bitcoin con una billetera asociada con actividades criminales conocidas, comenta Krehel. "Este ritmo de crecimiento [del ransomware] continuará," afirma.

¿Los delincuentes cibernéticos abandonan o simplemente evolucionan a otras funciones?

Cada pocos meses, un grupo de ransomware de alto perfil anuncia el cierre de sus operaciones. El mes pasado fue Avaddon. Antes fue DarkSide. Antes fue Maze y así sucesivamente. A veces, cuando deciden disolverse, estos grupos liberan sus claves maestras, lo que podría ayudar a algunas víctimas que aún no han pagado el rescate o han recuperado sus archivos de las copias de seguridad, pero los delincuentes que están detrás de los grupos no desaparecen realmente del ecosistema, ni van a la cárcel. Simplemente se trasladan a otros grupos o cambian de papel, por ejemplo, de gestor de una exitosa operación de ransomware a inversor.

Ragan compara esta situación con la de los delincuentes tradicionales que utilizan empresas ficticias para canalizar el dinero y luego, cuando la presión es demasiado alta, las disuelven y siguen adelante. "Es casi lo mismo", señala. "De nuevo, ese es otro paralelismo entre el mundo criminal y lo que vemos a nuestro lado del pequeño muro. Ambos son actos delictivos, pero al mismo tiempo, las organizaciones que no están pensando en lo cibernético, están acostumbradas al concepto de empresas fantasma, y a cómo pueden ser utilizadas para medios nefastos. Pues bien, estas marcas que utilizan los grupos de ransomware y malware son lo mismo.

Según Krehel, la vida útil de los grupos de ransomware suele ser de unos dos años porque entienden que después de ese tiempo recibirán demasiada atención, especialmente si han tenido mucho éxito, y lo mejor es retirar el grupo y crear uno nuevo. Tal vez algunos miembros se retiren y se conviertan en capitalistas de riesgo en otros grupos, pero este trasiego de grupos tiene más que ver con generar confusión y dificultar a las fuerzas de seguridad la obtención de todos los nombres de los participantes, afirma.

El retorno sobre la inversión del ransomware es tan buena que los delincuentes cibernéticos profesionales no pueden permitirse no participar en él. Por eso los grupos que han estado asociados a otras formas de delincuencia cibernética, como el robo de tarjetas de crédito o el pirateo de bancos, han empezado a adoptar el ransomware como fuente de ingresos, o a colaborar con las bandas de ransomware.

"Los grupos han cambiado, se han unido a otros grupos y han establecido alianzas", afirma Ragan. "Literalmente, si hiciéramos un paralelismo con el mundo real, se trata de fusiones y adquisiciones. Podrían pensar que obtuvieron talento de otros grupos que se unieron a ellos y ahora están desarrollando su propio ransomware, o consiguen sus programas de afiliados y lo fusionan en uno solo".

"Está bastante claro que algunas de estas 'nuevas cepas' probablemente provienen de 'viejos' grupos," señala Hoffman. "Maze, Egregor, REvil, todos estos tipos, se escinden y crean otras cosas como AstraLocker y LV, y todos estos nuevos que están saliendo. No están todos relacionados, pero hay mucha asociación entre los nuevos grupos y los antiguos".

Algunos de los nuevos grupos también pueden servir para reclutar a nuevas personas en el negocio, y darles una plataforma donde puedan adquirir experiencia. Cuando el grupo haya cumplido su objetivo y haya vivido su vida, algunos de sus afiliados pasarán a grupos más establecidos.

"Hay un ecosistema para los criminales de alquiler, que sí tienen un buen historial delictivo, que realizaron buenas misiones ofensivas y no fueron arrestados", comenta Krehel. "Esas personas son ahora más caras, su experiencia se ha añadido a su currículum criminal, y cuentan con la confianza de las redes criminales". También parece que los miembros cambian a menudo de grupo. Es casi como si mirara a Google y Facebook, o a algunas grandes empresas donde la gente cambia de trabajo. Así que hay un cambio de trabajo constante".

Podrían ser necesarias acciones ofensivas

Los delincuentes cibernéticos no van a renunciar fácilmente al ransomware porque es rentable y muchos de ellos viven en Rusia o en países de la antigua Unión Soviética, donde la probabilidad de ser detenidos por extorsionar a organizaciones occidentales es baja. Los programas de malware que se originan en Rusia o en la Comunidad de Estados Independientes (CEI), suelen llevar incorporados controles que impiden su despliegue en computadoras que utilizan el ruso u otros idiomas de los países de la CEI. Es una regla no escrita que los creadores de malware y los ciberdelincuentes conocen: no se dirija a las empresas locales y estará bien. Rusia no extradita a sus ciudadanos y, dado el actual clima geopolítico entre el país y Occidente, no es muy probable que aumente la colaboración de las fuerzas del orden en materia de delincuencia cibernética.

Tras otro sonado ataque de ransomware en julio que afectó a más de mil empresas de todo el mundo, el presidente Biden habló con el presidente ruso Vladimir Putin y se declaró optimista sobre una colaboración en materia de ataques cibernéticos, pero también insinuó que Estados Unidos está dispuesto a atacar los servidores utilizados en los ataques de ransomware como represalia. REvil, el grupo detrás del ataque guardó silencio poco después; y Kaseya, la empresa cuyo software fue hackeado y se utilizó para propagar el ransomware, recibió la clave maestra de descifrado de una fuente que no reveló, pero a la que se refirió como "un tercero de confianza".

Si los canales diplomáticos no dan resultados en el futuro y las fuerzas de seguridad rusas no actúan a nivel nacional, podría ser necesario un enfoque más ofensivo para disuadir a estos grupos y detener los ataques antes de que tengan más víctimas.

"Si un gobierno extranjero se dirige a usted [a la banda de ransomware], ya está. No hay nada que puedas hacer", señala Ragan. "Está tratando con un adversario que tiene tiempo y recursos ilimitados. Le van a pillar. No importa lo bueno que sea. Es un miedo realista que tienen estos delincuentes y creo que es lo que provoca la huida. Pero aquí está el problema: la mera mención de las sanciones, las políticas y cosas como estas, los hizo correr, ¿verdad? ¿Qué pasa si no hay una aplicación real? ¿Qué pasa si estas leyes y políticas salen, pero no tienen dientes? Entonces los delincuentes volverán y lo harán con más fuerza porque saben que no hay dientes ni aplicación".

Hoffman ve una oportunidad para que Estados Unidos sea más ofensivo a la hora de apoyar a las empresas, y señala que no está al tanto de la política nacional del gobierno sobre tácticas ofensivas. "Al igual que en otros países, la infraestructura nacional que se utiliza con fines de Estado-nación no está disponible para combatir la delincuencia comercial, pero en este caso es posible que tengamos que ponerla a disposición para reducir parte de la tensión de las empresas aquí, para volvernos ofensivos".

Los delincuentes cibernéticos no quieren luchar contra el gobierno frente a una empresa mal preparada. "Así que, si toda la fuerza de la infraestructura cibernética nacional de EE.UU. entra en acción contra el mundo de la ciberdelincuencia, que es exactamente lo que los operadores del foro no quieren, podría tener un impacto significativo", anota Hoffman. "Por otro lado, ¿provocará eso la 'ciberguerra' que ha estado pendiente entre EE.UU. y Rusia en el futuro, y entonces la infraestructura cibernética nacional de Rusia entrará en acción de forma más evidente contra nosotros? Quizás".

Si el gobierno de EE.UU. fue el que hackeó a la gente detrás de DarkSide, tomó sus Bitcoins, destruyó esa infraestructura y destrozó esas computadoras, entonces eso ya es bastante grande, anota Krehel. Imagine decir: vamos a sobrevolar su casa, vamos a tomar todas las monedas que tiene en el mercado, vamos a tomar sus claves privadas, vamos a destruir todos los servidores que haya tocado, y vamos a ponerle contra el muro, para que si ataca cualquier otro negocio en adelante sea un objetivo para el resto de su vida".

Puede ver también: