“La especialización y consolidación de la economía del cibercrimen ha impulsado el ransomware como servicio (RaaS) para convertirse en un modelo comercial dominante”, así lo advierte Microsoft en su más reciente informe Cyber Signals, sobre ciberamenazas y tendencias de seguridad.

En este informe, Microsoft señala que la economía del ransomware como servicio ha copiado el modelo de la economía compartida, permitiendo a los ciberdelincuentes alquilar o vender el acceso a sus herramientas como cargas útiles, fuga de datos e infraestructura de pago. Estos prefieren llevarse solo una parte de las ganancias en lugar de tomarse la molestia de realizar los ataques por sí mismos.

Como resultado, los programas RaaS como Conti o REvil ahora son utilizados por muchos actores diferentes que cambian entre programas y cargas útiles, independientemente de su experiencia técnica.

Relacionado: Costos por filtraciones de datos incrementaron 9% en América Latina: IBM

La economía RaaS ha permitido que cualquier persona con una computadora y una tarjeta de crédito dispuesta a buscar en lo más recóndito de Internet, pueda acceder a este tipo de herramientas listas para usarse. Algunos programas tienen más de 50 “afiliados”.

La facilidad con la que se pueden ejecutar los programas RaaS ha permitido el aumento tanto en volumen como en sofisticación de los ataques. La Unidad de Crímenes Digitales de Microsoft reportó haber eliminado más de 531 mil URLs de phishing únicas y 5 mil 400 kits de phishing entre julio de 2021 y junio de 2022, lo que llevó a la identificación y cierre de más de mil 400 cuentas de correo electrónico maliciosas utilizadas para recopilar las contraseñas robadas de sus clientes a través de ransomware.

Microsoft dice que el tiempo promedio en que los ciberdelincuentes tardan en acceder a los datos personales de un usuario a través de phishing es de una hora y 12 minutos. Mientras que el tiempo promedio que un atacante tarda en entrar a una red corporativa a través de dispositivos remotos endpoints es de una hora y 42 minutos.

DPL Cloud Digital Series | Microsoft Azure: colaboración y soluciones integrales para industrias y gobiernos

La empresa tecnológica señala que para reforzar la seguridad de las organizaciones ante el auge del ransomware es importante crear un protocolo de higiene de credenciales desarrollando “una segmentación de red lógica basada en privilegios” que permita limitar movimientos laterales.

También invita a los equipos de seguridad de TI  y los Centros de Operaciones de Seguridad (SOC) a colaborar para realizar auditorías de exposición de credenciales para reducir los privilegios y tener más control de las contraseñas.Reducir la superficie de ataque de ransomware es otro de los consejos de Microsoft para que las organizaciones establezcan reglas definidas que les permitan mitigar los ataques en las etapas iniciales.

La semana pasada, el gobierno de Costa Rica declaró emergencia nacional por ciberataques dirigidos a los sistemas informáticos de varias instituciones gubernamentales del país. Se informa que los ministerios de Hacienda, Trabajo y Seguridad Social, entre otros, han sido infiltrados y su información ha sido cifrada y expuesta en sitios públicos.

Estos ciberataques están relacionados con el actor cibercriminal conocido como Conti, que opera ransomware o malware como servicio para secuestrar información y extorsionar a sus víctimas para recuperar los datos.

Este grupo también se ha enfocado en entidades de gobierno de Perú y ya ha publicado su  información. La firma de ciberseguridad Kaspersky ha detectado la amenaza y advierte que es de vital importancia que los gobiernos de la región estén preparados ante esta situación.

Debes leer: Estados Unidos ofrece recompensa por ciberatacantes del ransomware Conti

“Las naciones no se hacen vulnerables de la noche a la mañana (…), se convierten en objetivos y deben estar preparadas”, comentó en un seminario Web Eduardo Chavarro Ovalle, Incident Response Specialist GERT de Kaspersky.

Los ataques contra instituciones de Costa Rica y Perú fueron ejecutadas por el afiliado de CONTI Unc1756, un actor que ha dejado en claro que el propósito de estos ataques es ganar dinero y “derrocar al gobierno”.

Pero también es como una prueba para posteriormente ejecutar ataques más serios con un equipo mayor. “Costa Rica sólo es nuestra versión demo”, menciona Conti en el sitio donde expone la información de sus víctimas.

¿Quién o qué es Conti?

Los expertos de Kaspersky describen a Conti como una estructura cibercriminal que opera  ransomware como servicio (RaaS, por sus siglas en inglés). Se trata de una industria completa detrás de esta amenaza que se dedica a alquilar servicios de infraestructura para desplegar malware, estrategias de monetización, de comunicación y una serie de componentes que no están enfocados exclusivamente en el desarrollo de amenazas cibernéticas.

Los primeros ataques de Conti se remontan a 2020, sin embargo, este actor cibercriminal ha operado desde mucho antes bajo otro nombre: Ryuk, un ransomware muy fuerte que apareció en 2018, pero que gracias a la publicación del código fuente del malware ha surgido en nuevos subgrupos.

Conti también está vinculado con otros grupos que operan con botnets, por ejemplo Trickbot, que busca comprometer sistemas sistemas individuales mediante ataques masivos, envío de phishing o malware adjunto, para posteriormente vender ese control a otros grupos cibercriminales.

Lo más preocupante es que Conti funciona bajo un programa de afiliados, al que se puede unir cualquiera con el objetivo de expandir el impacto y alcance de este tipo de amenazas.

Incluso cuenta con todo un equipo de reclutamiento, programas de recompensas, recursos humanos que se encargan de pagar a sus “colaboradores”, sistema de capacitación, soporte 24/7 para sus “clientes” o afiliados. Y hasta cuentan con foros privados o semipúblicos donde subastan la información de acceso a otras organizaciones y se comparten instrucciones.

Captura de pantalla de un chat entre miembros de CONTI donde intercambian información y consejos para comprometer sistemas informáticos. Imagen: Kaspersky. 

Ante la amenaza, el Departamento de Estado de los Estados Unidos ofreció una recompensa de entre 10 y 15 millones de dólares (USD) para obtener detalles de las personas líderes de este grupo, que no sólo han apuntado a gobiernos de América Latina, sino que se han enfocado desde hace varios años en comprometer la seguridad de organizaciones e instituciones en todo el mundo.

Kaspersky ha identificado el método general de ataque de Conti:

1. Intrusión: encuentran una vulnerabilidad como punto de acceso a las infraestructuras, se camuflan actuando o pareciendo usuarios del sistema. 
2. Exfiltración: empiezan a recolectar y extraer información que les pueda servir para solicitar un pago, además de revisar si pueden extender el daño a más sistemas e incluso a otras empresas.
3. Cifrado/secuestro: encriptan la información y dejan una nota donde piden a la víctima comunicarse para volver a tener acceso a sus datos.
4. Exposición: presionan con exponer públicamente la información que acaban de secuestrar, haciendo ver a otras organizaciones que esto no es un juego, porque para ellos es como “su trabajo”.

Conti también opera comprando accesos para compartirlos en sus foros en donde los afiliados del grupo adquieren el acceso, y posteriormente ejecutan los ataques. Además, identifican vulnerabilidades o ausencias en la configuración, aprovechándose de un mal diseño de producto o de un error propio de implementación.

Los principales vectores de entrada que son explotados por estos cibercriminales son escritorios de acceso remoto de frente a Internet y servicios VPN débiles que permiten ejecutar ataques de phishing para la obtención de credenciales.

¿Cómo defenderse?

Los expertos de Kaspersky recomiendan que lo primero es hacer un inventario de los activos digitales que posee una organización, para saber qué se puede defender. Es importante conocer los servicios que puedan estar expuestos, la gestión de vulnerabilidades y por último revisar los elementos de integración como la Nube y el acceso a terceros.

Cuidar la Nube es muy importante porque estos servicios son inseguros por defecto y en los últimos ataques los cibercriminales han sabido aprovechar esta vulnerabilidad, para obtener un acceso completo y descontrolado hacia la infraestructura total. Entonces la estrategia de ciberseguridad también debe enfocarse en la Nube.

Otra forma de reducir el riesgo es la segmentación que permite aislar espacios de la red, para que en el caso de que sea comprometido un segmento se pueda solucionar por aparte evitando que salte a otras áreas.

Con la llegada del trabajo remoto también se ha vuelto importante habilitar controles de gestión de usuarios y múltiples factores de autenticación, así como la habilitación de  alertas sobre accesos sospechosos para identificar cuándo estamos siendo blanco de ataques de fuerza bruta.

Asimismo, es relevante los temas de inteligencia de amenazas, para conocer a los atacantes y tener la mayor cantidad de información posible sobre cómo operan y así poder enfrentarlos.

Te puede interesar: Covid-19 provocó que aumentaran los ciberataques: Kaspersky

Estadísticas de ransomware en América Latina

Además de Conti, Kaspersky ha identificado otro grupo con la misma estructura de ransomware como servicio que opera en la región, conocido como BlackCat. Este grupo ya cuenta con al menos 104 víctimas, entre ellas organizaciones de gobierno de Ecuador, Colombia y Chile.

Un elemento que destaca en la operación de BlackCat es que se han especializado en la exfiltración automatizada de información, en donde ellos ingresan a la infraestructura y empiezan a automatizar el robo de información.

En total, Kaspersky ha identificado al menos 50 grupos diferentes de ransomware que operan en diferentes partes del mundo:

Si bien en 2021 se identificó un decrecimiento en las detecciones de ataques de ransomware en América Latina, en comparación con 2020, aún así hubo 150 mil detecciones, lo que sigue siendo un número bastante preocupante al que hay que prestarle atención.

En países como Guatemala se ha visto un incremento de hasta un 963 por ciento, seguido por República Dominicana y Colombia. En los últimos tres años se han registrado más de cinco mil incidentes y tan sólo en el último mes 192 incidentes de ransomware. Sin embargo, hay que tener en cuenta que estos números deben ser mucho mayores porque no muchas empresas reportan sus casos.

Los ataques de ransomware masivos se están convirtiendo en una pesadilla para miles de organizaciones en el mundo y en especial para el gobierno de Estados Unidos.

En el último año, muchos de los ataques han proliferado a una gran escala y se han concentrado en vulnerar las cadenas de suministro críticas para la vida estadounidense, dirigiéndose no sólo a hospitales y agencias de policía, sino también a infraestructura crítica e industrias vitales.

Pero esta vez, durante el fin de semana en que se celebró el día de la independencia en dicho país, se produjo uno de los hackeos de ransomware más grandes y destructivos que se han visto en este año, después del hack de SolarWinds.

¿Qué sucedió?

Se estima que entre 800 y mil 500 organizaciones en todo el mundo fueron afectadas por un ataque de ransomware que se centró en la cadena de suministro de la empresa Kaseya, la cual brinda servicios de TI a pequeñas y medianas empresas, según informó su Director Ejecutivo a Reuters.

Los hackers distribuyeron el ransomware explotando varias vulnerabilidades en el software VSA de Kaseya, que utilizan grandes empresas y proveedores de servicios de tecnología para administrar y enviar actualizaciones a los sistemas de las redes informáticas empresariales.

Dirigirse al software VSA permitió a los hackers llegar a más víctimas, debido a que algunos de los clientes directos de Kaseya son claves en el ecosistema de Internet, ya que también ofrecen servicios de TI a otros negocios como supermercados, clínicas dentales, escuelas y más.

Bloomberg informó que el ataque paralizó una cadena de supermercados sueca, porque tuvo que cerrar 800 de sus tiendas el fin de semana, cuando el ataque provocó que dejaran de funcionar sus cajas registradoras.

Además de Estados Unidos, se identificaron víctimas en al menos 17 países, incluidos el Reino Unido, Sudáfrica, Canadá, Argentina, México, Indonesia, Nueva Zelanda y Kenia, según datos de la firma de ciberseguridad ESET.

¿Quién es el responsable?

El ataque está vinculado a una banda de cibercriminales con sede en Rusia que surgió en 2019, conocida como REvil.

Este grupo opera un tipo de “ransomware como servicio” (RaaS) con el mismo nombre, y se ha caracterizado por apuntar a los proveedores de servicios de tecnología.

REvil también estuvo involucrado en el hackeo de JBS, uno de los productores de carne más grandes de Estados Unidos. La compañía tuvo que pagar un rescate de 11 millones de dólares al grupo criminal para reanudar sus operaciones.

En este nuevo ataque, REvil exigió un rescate de 70 millones de dólares en Bitcoins para facilitar a las víctimas una clave de descifrado general. Muchos analistas afirman que la oferta de un pago general denota que la gran cantidad de redes infectadas ha sobrepasado la capacidad del grupo criminal.

“Este ataque es mucho más grande de lo que esperaban y está recibiendo mucha atención. A REvil le interesa terminarlo rápidamente”, dijo Allan Liska, analista de la firma de ciberseguridad Recorded Future.

¿Cómo reaccionó Estados Unidos?

La administración de Joe Biden ha dejado en claro que una de sus principales preocupaciones es la ciberseguridad, ya que los ciberataques, incluyendo el ransomware, representan una gran amenaza para la seguridad nacional y pública de cualquier nación.

Dado que la mayoría de los ataques provienen de Rusia, Biden se ha reunido con el presidente ruso, Vladimir Putin, para lograr un acuerdo sobre la problemática de la seguridad cibernética.

En su reunión del pasado mes de junio, Biden le pidió a Putin que los ataques a la infraestructura crítica como telecomunicaciones, salud y energía deberían estar fuera del límite permitido.

No obstante, los cibercriminales como REvil se están volviendo más sofisticados e incluso suelen revisar las finanzas y pólizas de seguro de sus víctimas para saber cuánto dinero pueden pagar para el rescate.

Además, varios funcionarios estadounidenses afirman que muchas de las bandas de cibercriminales colaboran con los servicios de inteligencia del Kremlin.

El fin de semana, el presidente Biden dijo a The Washington Post que en caso de que se compruebe que Rusia estaba involucrada en el ataque, “habrá consecuencias”. “Le dije a Putin que responderemos”, declaró Biden.

Si bien los expertos en ciberseguridad no creen que el Kremlin esté vinculado con el ataque a Kaseya, el incidente demuestra que Putin no se está preocupando mucho por controlar a los ciberdelincuentes.

El FBI recomienda no pagar rescates

En tanto, Christopher Wray, director de la Oficina Federal de Investigaciones (FBI), recomendó a las compañías y organizaciones que sean víctimas de ransomware no pagar los rescates, durante una audiencia del Comité Judicial de la Cámara de Representantes, según datos de la agencia AP.

De acuerdo con Wray, pagar los rescates puede fomentar ciberataques adicionales y es posible que las víctimas no recuperen automáticamente sus datos a pesar de haber invertido millones.

En su lugar, el representante del FBI dijo que lo mejor es coordinarse y trabajar con las fuerzas del orden público desde el día cero del ataque. La agencia de inteligencia estadounidense afirma que ha logrado obtener las claves de cifrado de varios ataques y desbloquear los datos incautados sin realizar ningún pago.

Sin embargo, muchas compañías han seguido el juego de los piratas informáticos pagando los rescates solicitados, por temor a que se revelen sus datos o a un cierre prolongado de sus negocios que genere pérdidas monetarias más catastróficas.