Portaltic.-Día contra el 'ransomware': Así operan los autores de estos ciberataques

MADRID, 12 (Portaltic/EP)

Este miércoles 12 de mayo se celebra el Día contra el 'ransomware', una fecha convocada por la compañía de ciberseguridad Kaspersky e INTERPOL para crear conciencia sobre los efectos de los ciberataques que exigen el pago de rescates a personas y empresas, que coincide con el aniversario del ciberataque WannaCry.

Los grupos responsables del 'ransomware' suelen ocultar la complejidad real del ecosistema de estos ataques, pero para ayudar a las organizaciones a entender cómo funciona éste y cómo combatirlo, Kaspersky ha analizado los foros de la 'darknet' e investigado a los grupos REvil y Babuk -unos de los más activos-, desmontando algunos de los mitos sobre el 'ransomware'.

Como cualquier industria, el ecosistema del 'ransomware' se compone de muchos actores que asumen diversas funciones, frente a la creencia de que los grupos de 'ransomware' son en realidad bandas cerradas.

Entre los principales actores implicados en la mayoría de los ataques, Kaspersky cita a los desarrolladores, 'botmasters', vendedores de acceso y operadores de 'ransomware'.

Estos actores se reúnen en foros especializados de la 'darknet', o la Internet Oscura, en los que se pueden encontrar anuncios actualizados regularmente ofreciendo servicios y acuerdos de colaboración. Los grandes actores que operan por su cuenta no frecuentan este tipo de sitios, sin embargo, grupos conocidos como REvil publican sus ofertas y novedades de forma regular utilizando programas de afiliados.

Este tipo de participación supone una asociación entre el operador del grupo de 'ransomware' y el afiliado. En ella el operador del ataque se lleva una parte de los beneficios -entre el 20 y el 40 por ciento- mientras que el 60 o 80 por ciento restante es para el afiliado.

La selección de estos socios es un proceso muy cuidado que atiende a reglas básicas establecidas por los operadores de 'ransomware' desde el principio, incluyendo restricciones geográficas e incluso opiniones políticas.

Al mismo tiempo, las víctimas se seleccionan según la oportunidad. Las más infectadas suelen ser aquellas a las que resulta más fácil atacar. Puede tratarse tanto de actores que trabajan dentro de los programas de afiliación como de operadores independientes que luego venden el acceso, en forma de subasta o mediante un acuerdo, a partir de apenas 50 dólares.

La mayoría de las veces estos atacantes son propietarios de 'botnets' que trabajan en campañas masivas y de gran alcance y venden el acceso a las máquinas de las víctimas al por mayor, o vendedores de acceso a la búsqueda de vulnerabilidades públicamente divulgadas en el 'software' de Internet, como los dispositivos VPN o las pasarelas de correo electrónico, que pueden utilizar para infiltrarse en las organizaciones.

En los foros de 'ransomware' también hay otros tipos de ofertas. Algunos operadores venden muestras de 'malware' y creadores de 'ransomware' por precios que oscilan entre 300 y 4.000 dólares, mientras que otros ofrecen 'Ransomware-as-a-Service', es decir, la venta de 'ransomware' con el apoyo continuado de sus desarrolladores, en paquetes cuyo precio oscila entre 120 dólares al mes y 1.900 dólares al año.

"Las organizaciones a las que se dirigen estos ataques no se limitan ya a las grandes corporaciones y organismos gubernamentales: los operadores de 'ransomware' están preparados para atacar a cualquier empresa, independientemente de su tamaño", ha comentado Craig Jones, director de Ciberdelincuencia de INTERPOL.

"Para luchar contra los autores del 'ransomware', debemos informarnos sobre su funcionamiento y combatirlos como un todo. El Día contra el 'ransomware' es una buena oportunidad para poner de relieve esta necesidad y recordar al público lo importante que es adoptar prácticas de seguridad eficaces", ha apostillado Jones.