El ransomware es un tipo de malware extremadamente peligroso, que puede romper sus mecanismos de seguridad y cifrar sus archivos. Es difícil estar seguro de que su empresa está a salvo hasta que suceda la acción. Pero los desarrolladores de ransomware cometen un gran error al publicar la lista negra de sus objetivos: empresas a las que se les prohíbe atacar, según los principios de su “código de honor”.
¿Tienen honor los grupos de ransomware?
Suena cómico, pero esos estafadores lo tienen. Al menos la mayoría de los delincuentes acordaron evitar atacar a las empresas que pertenecen al grupo de organizaciones vitales. Sin embargo, la otra cara de esta moneda es que se aseguran de ser seriamente buscados por organizaciones de seguridad, como el FBI, por ejemplo. De hecho, la Oficina Federal de Investigaciones u otros tienen un expediente para cada grupo de ransomware que está en su rango. Pero la atención extrema se presta solo a aquellos que cometieron un delito cibernético que ha afectado gravemente a la seguridad nacional.
Tal caso tuvo lugar en mayo de 2021, cuando un grupo de ransomware DarkSide atacó a la empresa Colonial Pipeline. El último es el mayor proveedor de productos petrolíferos refinados en la costa este de los EE. UU. El cierre de sus operaciones provocó una escasez significativa de combustible en los estados de la costa este: casi el 20% de las estaciones de servicio se quedaron sin combustible y, por lo tanto, cerraron. Esta ocasión no solo causó molestias debido a la imposibilidad de repostar su automóvil, sino también por el aumento del precio de la gasolina. Los efectos tan amplios no podían ser ignorados por las autoridades ejecutivas, por lo que han iniciado una campaña muy activa contra el grupo DarkSide.
Exactamente, ese caso empujó a los grupos de ransomware1 a crear una lista “común para todos” de empresas que no deben ser atacadas. Los sectores que están a salvo del ransomware son la industria de la salud (47%), instituciones educativas y gubernamentales (37%). Se proporciona mucha menos “seguridad” para las organizaciones sin fines de lucro: solo el 26% de las pandillas afirmaron que no atacarán tales objetivos. Algunas de las pandillas también afirmaron que evitarán atacar las importantes empresas de infraestructura, como el mencionado Oleoducto Colonial.
Dar en el blanco: ¿cómo eligen sus objetivos las bandas de ransomware?
La mayoría de las bandas modernas de ransomware apuntan a las corporaciones. Este hecho se ve confirmado por dos datos estadísticos: la cantidad total de rescates pagados por las corporaciones en comparación con los pagados por los individuos, y la cantidad de nuevos grupos de ransomware que apuntan a empresas e individuos. De hecho, podemos ver que hay una sola banda de ransomware grave que apunta a individuos: la familia STOP/Djvu2. Los informes de ciberseguridad dicen aproximadamente más del 70% de los ataques a personas llevados a cabo por ese grupo. Mientras tanto, hay una gran cantidad de ciberdelincuentes que apuntan a las corporaciones, y cada semana su cantidad aumenta.
La rotación de dinero de las pandillas orientadas a las corporaciones también es difícil de desafiar. Un solo rescate pagado por una empresa puede superar fácilmente los rescates de 1000 víctimas individuales. Algunos rescates de corporaciones pueden superar la cantidad mensual de rescates pagados a la familia STOP/Djvu: en marzo de 2021, Acer pagó $ 50 millones, actualmente, el rescate más alto que se haya pagado.
¡Inglés! ¿Lo hablas?
Al analizar las publicaciones en los foros de Darknet, los investigadores vieron una tendencia interesante. Los ciberdelincuentes generalmente apuntan a empresas de Canadá (37%), Europa (31%), EE. UU. (47%) y Australia. Es probable que eso suceda debido al hecho de que las empresas en esos países tienen más éxito: cuanto mejor va la empresa, más posibilidades hay de que se pague el rescate.
Algunas dudas surgen cuando el hecho de que casi siempre prohíben los países de la Comunidad de Estados Independientes (CEI), muchos factores apuntan al hecho de que la mayor parte del ransomware se origina allí. Pero el hecho de que la empresa tenga su sede en uno de los países mencionados no es la única condición a igualar.
Tecnologías peligrosas
Muchos grupos de ransomware que buscaban acceso a redes corporativas querían obtener la red con el uso de VPN o RDP. Ambas tecnologías son vulnerables a la penetración de malware si se configuran incorrectamente. Además de esas tecnologías de red, los piratas informáticos también se alegran de ver los productos de Palo Alto Networks, Cisco, VMware, Citrix y otros productores de software de aplicaciones. Es probable que dicha demanda se deba a la gran cantidad de vulnerabilidades disponibles en los productos de estas empresas. Los delincuentes intentarán utilizar todo su arsenal de exploits para acceder a su red.
El precio común para acceder a la red con tales características es de aproximadamente $ 56,000, pero a veces las bandas de ransomware pueden aumentar la oferta hasta $ 100,000. Lo curioso se esconde en el hecho de que casi el 45% de los grupos que están pujando tan alto por ese acceso se crearon después de julio de 2021. ¿De dónde sacan tanto dinero? Esta pregunta provoca muchas discusiones y versiones, pero la respuesta correcta aún está ausente. ¿Y existe en absoluto?
Condiciones especiales
Algunos grupos tienen un mayor acento en atacar los sectores o países que tienen disturbios políticos o militares. Por ejemplo, durante los cambios políticos en Afganistán, el último se convirtió en un país líder en nuevos casos de ataques de ransomware. Durante el período del 5 de agosto al 4 de septiembre de 2021, las organizaciones de ciberseguridad informaron que el 1,7% de todos los ataques cibernéticos tenían como objetivo Afganistán. Esa parte supera a Corea del Sur, Pakistán, Papúa Nueva Guinea y muchas otras empresas. Esos números se volvieron aún más contrastantes después de verificar las estadísticas anteriores para este país: tenía una participación de menos del 0.1%.
Considere leer: El ransomware obsoleto es una amenaza.
User Review
( votes)References
- Ransomware: https://gridinsoft.com/ransomware
- DETENER / Djvu ransomware: https://gridinsoft.com/ransomware/djvu