El ransomware ha evolucionado de ser una estafa relativamente menor a un fenómeno criminal global. Ha sido un proceso continuo de refinamiento de la extorsión, con delincuentes adaptando su comportamiento para maximizar su rendimiento financiero y creando modelos de negocio que solo eran vistos en los grandes corporativos.
En este entorno ha surgido el ransomware como servicios (RaaS), el cual muestra un evidente crecimiento. Existen organizaciones cibercriminales que otorgan franquicias de sus servicios a otros delincuentes o crean redes de asociados. Este proceso se expandirá durante 2022, porque tiene numerosas ventajas organizacionales, como la separación de roles. Los codificadores de élite pueden concentrarse en desarrollar el producto; los vendedores pueden comercializar el producto; los intermediarios pueden proporcionar acceso a los objetivos; y los delincuentes pueden lanzar ataques altamente sofisticados.
Estos modelos comerciales fomentan prácticas como la doble extorsión, ya que a medida que las empresas mejoraron sus defensas contra el ransomware, principalmente a través de mejores copias de seguridad, los pagos de rescate disminuyeron. Los delincuentes respondieron agregando el robo de datos confidenciales al cifrado de archivos. Si la víctima se negaba a pagar el rescate de descifrado, los datos confidenciales quedarían expuestos o serían vendidos, con lo cual, las víctimas, han enfrentado multas de protección de datos, pérdida de ventaja competitiva y participación de mercado, así como pérdida de reputación de marca y pérdida de clientes. Este rescate de datos ha demostrado ser un gran éxito para los cibercriminales. El hardware se puede reemplazar, pero los datos confidenciales filtrados quedan expuestos para siempre.
El robo de datos se ha convertido en la parte más efectiva del ransomware, hasta el punto de que podemos ver una disminución en el uso del cifrado a favor de la concentración en el robo de datos confidenciales. Es posible que a medida que más organizaciones respalden sus datos, los cibercriminales se salten la implementación de ransomware y pasen directamente a robar los datos y chantajear a las organizaciones y esto hace que la protección de los datos sea incluso más importante que la protección de los sistemas.
Es así como se está construyendo toda una economía clandestina en torno al negocio de exfiltración y extorsión de datos. Están apareciendo una gran cantidad de sitios web que exhiben los datos, proporcionando, además, foros y sitios para que los grupos de ransomware publiquen y subasten información robada a la cual no le han podido sacar provecho.
Estos grupos de ransomware están renovando toda su infraestructura de tácticas, técnicas y procedimientos para concentrarse en filtrar y vender de manera más efectiva los datos robados.
En 2022 la exfiltración de la información alcanzará niveles aún más altos de sofisticación, posiblemente con un cambio del cifrado a un enfoque exclusivo en la extorsión. Sin embargo, así como se introdujo el robo de datos para respaldar la extorsión de descifrado, también podemos ver un aumento en los ataques DDoS asociados para respaldar la extorsión de robo de datos. Esto obliga aún más a las víctimas a pagar el rescate, pues los delincuentes aumentan el uso de ataques distribuidos de denegación de servicio cuando las organizaciones se niegan inicialmente o tardan en pagar.
Otro punto importante: pagar el rescate no es el final. Si los delincuentes tienen sus datos, el escenario podría convertirse fácilmente en una estafa de protección virtual, pues en la medida en que los atacantes buscan obtener el máximo beneficio, las campañas para robar y amenazar con revelar información ganan adeptos, además, una vez que han extorsionado a una organización, los atacantes pueden volver a pedir pagos regulares, pues el hecho de que prometan eliminar los datos no significa que lo harán.
De igual forma, el pago del rescate con criptomonedas es una parte importante del ecosistema de la extorsión, pues hace que la recuperación del dinero pagado sea casi imposible. Y desafortunadamente, el ransomware, o quizás más exactamente, la extorsión, solo se eliminará si el intento de extorsión no genera beneficios para el delincuente.
Dado que las autoridades no pueden prohibir el pago de dinero de rescate, habrá mayores esfuerzos en 2022 para interrumpir la recepción del dinero por parte de los cibercriminales. Si bien la aplicación de la ley internacional ha logrado algunos avances en el seguimiento y la prohibición de pagos en criptomonedas a los delincuentes, no se espera que esto haga mella significativa en el volumen general de ransomware y, al contrario, los delincuentes lavarán las ganancias de la extorsión a través de tokens no fungibles (NFT) y de propiedades virtuales en los diferentes metaversos.
Otro problema del uso de criptomonedas es el grado de anonimato que proporciona. La gran incógnita es ¿qué harán los gobiernos?. Podemos esperar que los gobiernos avancen con mayores regulaciones de las criptomonedas durante 2022. No creemos posible que puedan prohibirse fuera de países que suelen imponer restricciones. Es posible que las leyes futuras faciliten la trazabilidad y la intercepción de los pagos de criptomonedas de ransomware. De lograrse esto, se podría neutralizar una parte importante de este ecosistema.
Además, los atacantes ya no les importa el impacto físico que causan, por ejemplo, al atacar infraestructura crítica y hospitales donde la vida podría estar en riesgo. Como resultado, los servicios cotidianos críticos podrían dejar de estar disponibles, los precios podrían subir y podríamos encontrar ransomware que afecte nuestra vida diaria. El efecto del ransomware se extendería desde un objetivo específico para comenzar a afectar a todos los ciudadanos.
La infraestructura crítica se verá afectada y seguirá siendo un objetivo fácil para los ciberdelincuentes en 2022. El atractivo no es solo que es un sector relativamente fácil de vulnerar, sino la naturaleza crítica del servicio. Los delincuentes creen que la infraestructura crítica estará dispuesta a pagar más y más rápido cuando haya vidas en riesgo o el bienestar social esté en peligro. Y otra posibilidad es que se incrementen los ataques contra las pequeñas y medianas empresas. Los grupos de ransomware comenzarán a apuntar a empresas más pequeñas, donde habrá menos atención de los medios y del gobierno, para mantener su margen de ganancias.
No es fácil eliminar a los delincuentes ni evitar el cibercrimen. Pero una manera es hacer que el ransomware y la extorsión sean menos atractivos para los atacantes. Esto requerirá que la industria deje de pagar rescates y que las autoridades impidan que los pagos lleguen a los atacantes.
Detener el ransomware requerirá la acción cooperativa de las autoridades, legisladores, la industria de la ciberseguridad y las organizaciones en general. Las fuerzas del orden público y los gobiernos deberán dificultar que las pandillas de extorsión reciban el pago. La industria de la ciberseguridad necesita hacer que los controles de seguridad sean más efectivos y fáciles de implementar. La infraestructura crítica necesita desarrollar una mejor resiliencia física, mientras que las organizaciones necesitan proteger mejor sus datos confidenciales.
Aquí una observación: No estamos cerca de estar mejor protegidos. Para que el ransomware se detenga, las estrategias de continuidad del negocio y recuperación ante desastres deben mejorar hasta un punto en el que las empresas puedan soportar el ataque y tengan las herramientas adecuadas para mantenerse operativas. Solo entonces veremos cómo baja el costo del ransomware. Estas estrategias aún no existen. El objetivo debe ser hacer que la extorsión sea tan difícil y costosa para los atacantes que simplemente pasen a buscar otras actividades más fáciles y no estamos cerca de lograr esto, lo que significa que la extorsión aún se encuentra en la fase de crecimiento de su ciclo de vida. Solo por esta razón, podemos estimar que habrá más extorsión con demandas crecientes a lo largo de 2022.
Por: Víctor Ruiz, fundador de SILIKN.