Lima, 14 de Febrero del 2023.- El rápido aumento del modelo de negocio del Ransomware como Servicio (RaaS) en América Latina ha dado lugar a la aparición del predominio de pequeños grupos de ransomware y, por lo tanto, el declive de los grandes grupos de ciberdelincuentes. En esta región esta actividad ya opera bajo nuevas estructuras y perfiles que imitan a las propias corporaciones con el objetivo de continuar fortaleciendo sus operaciones delictivas y a su vez represente un reto para los analistas de inteligencia de amenazas.
Oswaldo Palacios, Senior Account Executive para Akamai, destacó que la desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. De hecho en América Latina, los pequeños grupos que apuestan por el ransomware como servicio están enfocados principalmente a atacar a empresas de gobierno o de la iniciativa privada de esta región.
“Los grupos de RaaS se están volviendo más organizados y eficientes. En la actualidad cuentan con varios departamentos encargados de la administración, finanzas, recursos humanos y a la par con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección. Cada etapa del ataque cuenta con personas que actúan como los responsables o como gerentes y están apareciendo nuevos roles, como los de los negociadores de ransomware”, informó el directivo.
Expertos han estimado que, en un ataque de ransomware participan desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%). Al respecto, Oswaldo Palacios destacó que los nuevos grupos de ransomware buscan en sus equipos habilidades especializadas principalmente cuando se trata de negociar o pagar rescates.
De acuerdo con Akamai, el Ransomware como Servicio funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
En todo este ecosistema cobra gran relevancia el pago del rescate, y como muchas compañías no resisten la presión de los ciberdelincuentes acceden como una vía fácil para recuperar el acceso a sus archivos o sistemas. Recientemente una compañía brasileña con sede en Bauru fue víctima de un ataque de ransomware por parte del peligroso grupo Hive y llegó a pagar diez veces más por la propuesta original. “Este es solo uno de los cientos de ejemplos que existen sobre el pago de ransomware donde los negociadores, o más bien extorsionadores, juegan un papel importante en la última etapa del proceso (monetización) para ejercer presión en las víctimas a fin de que paguen el rescate exigido por los ciberdelincuentes a través de correos y/o mensajes agresivos, ataques de negación de servicio distribuido (DDoS) o amenazar con liberar la información si se niega a pagar”, informó Oswaldo Palacios.
Generalmente los grupos delictivos de ransomware se comunican con las víctimas mediante un correo electrónico que menciona el pago del rescate. Sin embargo, a medida que el RaaS ha ido creciendo, muchos actores empezaron a establecer sus propios portales para mantener desde allí todas las comunicaciones. Algunos desarrolladores o afiliados del ransomware determinan la suma del rescate, ofrecen descuentos y discuten las condiciones de pago; en la actualidad están recurriendo a negociadores para lograr pagos efectivos y obtener mayores ganancias.
A decir de Oswaldo Palacios, estos negociadores requieren de una serie de habilidades imprescindibles para negociar con confianza y obtener un resultado satisfactorio, así como tener una capacidad argumentativa y persuasiva para intimidar y convencer prontamente a la víctima. “El negociador” impone una sanción lo suficientemente alta para la compañía de acuerdo a la información secuestrada y que en tal caso la organización se vea imposibilitada o limitada a operar y pagar el rescate.
Al ser ataques dirigidos, la mayoría de las veces los delincuentes conocen qué puntos son más importantes para la compañía y cómo atacarlos, de tal forma que la organización se vea imposibilitada de operar y obligada a pagar el rescate.
Sin embargo, el experto de Akamai recomendó a las organizaciones no realizar el pago por un rescate de ransomware ya que el hacerlo no garantiza recuperar la información ni la operación de la compañía. “Siempre será mejor emprender una estrategia de prevención, la microsegmentación, por ejemplo, se está convirtiendo en una herramienta cada vez más importante para los equipos de TI que se enfrentan al reto de mantener las políticas de seguridad y el cumplimiento en consonancia con el rápido ritmo de cambio de los centros de datos dinámicos, y los entornos de nube y de nube híbrida actuales”.