Tras la reciente publicación del informe anual Security Report de la compañía, nos queda una fotografía que nos recuerda el paso de un año tumultuoso en lo referente al sector de la ciberseguridad, en el que las cifras de los ciberataques alcanzaron un nuevo máximo histórico en reacción al conflicto bélico entre Rusia y Ucrania.
Unas amenazas que continúan encabezadas por el ransomware como la mayor amenaza para la seguridad de una organización. Motivo por el cual recientemente, el equipo de inteligencia de amenazas de Check Point realizó un análisis sobre la evolución de estos ciberataques, desde ejemplos básicos de extorsión y rescate hasta operaciones altamente organizadas.
En los primeros días de este ejercicio, los ataques fueron realizados por entidades individuales que desarrollaron y distribuyeron cantidades masivas de cargas útiles automatizadas a víctimas seleccionadas al azar, recolectando pequeñas sumas de cada ataque «exitoso». Mostrando un cambio significativo con los últimos resultados, en los que se ve cómo estos ataques han evolucionado para convertirse en procesos operados principalmente por humanos, llevados a cabo por múltiples entidades durante varias semanas.
En 2022, 1 de cada 13 organizaciones sufrió un intento de ataque de ransomware, mientras que el gobierno de Costa Rica se vio obligado a declarar una emergencia nacional cuando el grupo de ciberdelincuentes rusos, Conti, vulneró el Ministerio de Finanzas para exigir un rescate de 20 millones de dólares.
Sin embargo, a medida que avanzamos en 2023, el ransomware tal como lo conocemos está evolucionando: el número de víctimas está disminuyendo y las demandas de los piratas informáticos están cambiando. Se le podría perdonar por pensar que esto es algo bueno, pero, de hecho, es porque el ecosistema de ransomware se ha vuelto cada vez más fragmentado, pero en paralelo, mucho más centrado en objetivos específicos y más sofisticado. Nuevas variaciones de malware aparecen diariamente, lo que ha creado un panorama de amenazas complejo y difícil de navegar.
Por otra parte, gracias a este informe podemos ver también que el enfoque de los ciberdelincuentes se ha alejado de los pagos de rescate a favor de una postura firmemente centrada en la extorsión de datos no cifrados. Y es que este tipo de datos les están resultando más valiosos, pudiendo ser lanzados al dominio público casi de inmediato, provocando que las víctimas estén ansiosas por recuperarlos sin importarles el coste.
Muchos tipos diferentes de información se consideran confidenciales, desde datos financieros corporativos y de propiedad exclusiva hasta datos personales relacionados con la salud física o mental, datos financieros o cualquier otra información de identificación personal (PII), lo que hace que la amenaza de exposición de datos sea aún más potente. Algunos grupos ahora se saltan la fase de cifrado por completo, confiando solo en las amenazas de exposición de datos para extorsionar dinero. La filtración de datos es mucho más fácil que cifrar toda una red, implementar el cifrado profesionalmente y ayudar con el descifrado cuando se paga el rescate. Los ciberdelincuentes encuentran formas de hacer menos y obtener más.
Un ejemplo de la efectividad de este tipo de amenazas se demostró en un ataque a Medibank, una aseguradora de salud australiana, el pasado mes de octubre de 2022. Cuando la compañía se negó a pagar demandas del rescate, de 10 millones de dólares, los atacantes (aparentemente conectados con el grupo REvil) compartieron grandes cantidades de información personal relacionada con la interrupción del embarazo, el abuso de drogas y alcohol, problemas de salud mental y otros datos médicos confidenciales relacionados con millones de clientes australianos e internacionales, causando graves daños económicos y de reputación para la compañía.
Por otro lado, los investigadores comparten que el ecosistema de ransomware se está fragmentando, viendo un giro hacia modelos de negocio más atractivos como el Ransomware como servicio (RaaS), conocido por ser operado por humanos. Y es que, en este tipo de ciberataques, los ciberatacantes pueden tomar decisiones calculadas que resultan en una amplia variación de patrones de ataque específicamente adaptados a objetivos individuales.
Disponible a través de la web oscura, este modelo se centra esencialmente un acuerdo entre dos partes: uno desarrolla las herramientas para llevar a cabo un ataque, y otro despliega la carga útil y, si el ataque tiene éxito, ambas partes reciben una parte de las ganancias.
Gran parte del éxito de este tipo de ciberataques es que cualquiera puede comprar un kit, y solo necesita unas guías y algunos conocimientos técnicos básicos para ejecutar un ataque, sumado a una rentabilidad extremadamente alta. Los líderes de seguridad están preocupados de que RaaS crezca en popularidad en los próximos 12 meses como una posible consecuencia de los despidos en el sector tecnológico.
Tanta es su peligrosidad e incidencia que, en 2021, el Departamento de Estado de los Estados Unidos ofreció una recompensa de 10 millones de dólares por información que condujese a la ubicación del especialista en RaaS, DarkSide.
No obstante, ya estamos viendo cómo las mareas cambian a medida que los gobiernos de todo el mundo avanzan hacia una posición más agresiva contra estos grupos de delincuentes, con cada vez más naciones que poseen capacidades ofensivas de piratería.
En enero de 2023, el fiscal general de los Estados Unidos anunció que el FBI y otras entidades internacionales habían logrado interrumpir temporalmente la red de la prolífica banda de ransomware, Hive. Una operación que evitó que múltiples organizaciones gubernamentales tuvieran que pagar millones de dólares en rescate, y prueba clara de que el hackeo a la ofensiva funciona.
Por su parte, después de los dos grandes ataques cibernéticos consecutivos contra el gigante australiano de las telecomunicaciones Optus y Medibank, el ministro de ciberseguridad australiano prometió “hackear a los piratas informáticos”. Recientemente, en diciembre de 2022, también Japón comenzó un proceso para modificar sus leyes y permitir la realización de operaciones digitales ofensivas contra los ciberdelincuentes.
Una forma de prevenir los ataques de ransomware sería introducir una prohibición para que las organizaciones realicen pagos. Por ejemplo, en Florida y Carolina del Norte, es ilegal que las agencias estatales paguen un rescate y Australia está considerando codificar las prohibiciones de pago en la ley. Sin embargo, esto podría resultar en malos actores dirigidos específicamente a organizaciones que tienen menos probabilidades de hacer frente a períodos prolongados de tiempo de inactividad. Los hospitales, los proveedores de energía y las escuelas podrían convertirse en objetivos principales y la amenaza de dañar genuinamente a la sociedad o a los individuos podría obligar a estas organizaciones a pagar.
Si bien los elementos del ransomware ‘clásico’ permanecen, es innegable que los métodos y la ejecución han evolucionado. A medida que el panorama de amenazas se fragmenta y el RaaS continúa prosperando, 2023 se postula como un año crucial en la lucha contra el cibercrimen.
Mario García, director general de Check Point Software para España y Portugal
