El ransomware es un tipo de código dañino (malware) que cifra los datos de los sistemas de información y/o bloquea el acceso a sistemas informáticos hasta que se pague un rescate, generalmente en moneda virtual como puede ser el Bitcoin. Este tipo de ataque representa una de las mayores amenazas en el ámbito de la ciberseguridad, afectando tanto a individuos como a organizaciones de diversos sectores y tamaños.
En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un elemento fundamental para garantizar la protección de la información, la privacidad y la continuidad de las operaciones en empresas y gobiernos. El crecimiento exponencial de ataques de ransomware por parte de grupos criminales altamente especializados pone de manifiesto la necesidad de adoptar medidas de seguridad proactivas en esta materia.
En DARKDATA hemos hecho frente dentro de nuestro servicio de respuesta a incidentes de ciberseguridad en lo que va de año (2023) a 36 incidentes de ciberseguridad relacionados con código dañino del tipo ransomware.
Algunas de las familias con más impacto en los últimos años son:
- Ryuk: Originario de Rusia, el ransomware Ryuk es conocido por sus ataques dirigidos a grandes organizaciones e instituciones gubernamentales. Utiliza técnicas de cifrado robustas y exige rescates muy elevados.
- Sodinokibi: También llamado REvil, Sodinokibi es un ransomware-as-a-service (RaaS) que opera mediante un modelo de afiliados, en el cual los ciberdelincuentes alquilan el software para llevar a cabo sus propios ataques y comparten los beneficios con los creadores del malware.
- Conti: Emplea tácticas de doble extorsión y se centra en atacar organizaciones con infraestructuras críticas. Su mecanismo de cifrado es especialmente rápido, lo que le permite comprometer sistemas en poco tiempo.
- NetWalker: NetWalker es un ransomware que se centra en atacar entidades gubernamentales, educativas y de atención médica. Al igual que otras familias mencionadas, emplea tácticas de doble extorsión y opera bajo un modelo de RaaS, lo que ha permitido que sus ataques se multipliquen rápidamente.
Imagen extraída del espacio del grupo criminal BABUK RANSOMWARE en la red ONION TOR.
Los grupos cibercriminales especializados en ransomware operan a través de redes DarkNET como la red ONION TOR. Los propósitos de la operación en estos espacios son:
- Comunicación: La red Tor permite a los ciberdelincuentes comunicarse de forma anónima y segura, lo que facilita la planificación y coordinación de ataques de ransomware, así como el intercambio de información y recursos.
- Distribución de herramientas y exploits: Los espacios dedicados al ransomware en la red TOR suelen incluir repositorios de herramientas, exploits y vulnerabilidades, que permiten a los atacantes mejorar sus capacidades ofensivas y mantenerse al tanto de las últimas tendencias en ciberseguridad.
- Reclutamiento de afiliados: Muchos grupos de ransomware operan bajo un modelo de afiliación, en el que reclutan a otros cibercriminales para llevar a cabo ataques a cambio de una parte de los rescates obtenidos.
- Negociación de rescates: Los atacantes emplean la red TOR para establecer canales de comunicación con sus víctimas, permitiendo la negociación de rescates y el envío de instrucciones de pago de forma anónima y segura.
- Publicación de datos robados como medida de presión: Algunas familias de ransomware publican datos robados en sitios web alojados en la red TOR para aumentar la presión sobre las víctimas y forzar el pago del rescate.
Apariencia del espacio del grupo cibercriminal RAGNAR LOCKER en la red ONION TOR.
Desafíos y riesgos en la lucha contra el ransomware
El anonimato proporcionado por la red TOR y otras darknets plantea serios desafíos para las autoridades en su lucha contra el ransomware. La identificación y localización de los responsables de estos ataques es a menudo un proceso complejo y costoso, que requiere la cooperación entre múltiples organismos y jurisdicciones.
Para mitigar el riesgo de ataques de ransomware, las organizaciones deben adoptar una estrategia de seguridad integral que incluya medidas de prevención, detección y respuesta. Entre las prácticas recomendadas se encuentran la implementación de sistemas de protección específicos contra este tipo de amenazas. La protección perimetral y la actualización regular del software no son herramientas suficientes sin combinarlas con otras más profundas como la capacitación de los empleados en ciberseguridad y el despliegue de sistemas sólidos de respaldo y respuesta a incidentes.
La lucha contra el ransomware y otros tipos de cibercrimen requiere de una cooperación internacional efectiva, incluyendo la colaboración entre organismos de seguridad, el intercambio de información y la adopción de acuerdos y marcos legales que permitan la persecución y enjuiciamiento de los responsables.
La prevención y la concienciación son fundamentales para reducir el impacto del ransomware en nuestra sociedad. Es crucial que las organizaciones e individuos tomen medidas para proteger sus sistemas y datos, y que se invierta en la formación y capacitación de profesionales en ciberseguridad para hacer frente a esta creciente amenaza.
