El pasado 4 de julio, durante el puente para la celebración del Día de la Independencia de Estados Unidos, un ataque ransomware paralizó las redes de al menos 200 empresas. Los cibercriminales habrían pedido un rescate de entre 50 000 dólares y cinco millones. La agresión se concretó al conseguir infiltrarse en la compañía de tecnología Kaseya, que proporciona servicios de administración de redes. La gran difusión de estos ataques está obligando a muchas organizaciones a cerrar tratos con estos delincuentes.
Un ransomware es un tipo de software dañino con el que los agresores exigen un rescate a sus víctimas. Se propaga a los dispositivos a través de archivos adjuntos o enlaces fraudulentos en correos electrónicos de phishing, sitios web y memorias USB infectadas. Cuando el ransomware se activa, el acceso al sistema se bloquea o todos los datos contenidos se cifran. A continuación, los ciberdelincuentes exigen el pago de un rescate para restaurar el sistema y volver a permitir el acceso a los datos.
Las empresas acuden a negociadores especialistas en ciberseguridad que median en el pago del rescate. Fue el cofundador de GroupSense, Kurtis Minder, el primero en darse cuenta de este nuevo negocio. Su startup se dedica a supervisar los foros y los chats de la dark web para averiguar cuándo los ‘piratas informáticos’ están vendiendo acceso a redes informáticas corporativas. Hace unos meses, una empresa, creyendo ser el objetivo de los delincuentes, recurrió a ella. Les pidió negociar un rescate de más de un millón de dólares para descifrar datos internos que habían sido cifrados con un ransomware. Los negociadores lograron un acuerdo por 200 000 $ (169 000 €).
Desde entonces, GroupSense comenzó a aceptar otros encargos similares. En particular, de despachos de abogados y compañías de seguros de las víctimas de ciberataques. Hasta decenas a la semana. También las grandes empresas de tecnología han comenzado a emplear personal o empresas especializadas para ayudar a los clientes a hacer frente a estos incidentes cibernéticos.
Nuevos ataques a grandes objetivos
Antes del ataque del 4 de julio, la atención hacia este tipo de ciberdelito se había disparado tras el ataque llevado a cabo por el grupo DarkSide contra Colonial Pipeline. La compañía es el operador del oleoducto más grande entre Texas y Nueva York (Estados Unidos). El pasado mes de mayo, la empresa tuvo que cerrar el oleoducto durante seis días y pudo volver a funcionar solo después de pagar a los hackers un rescate de cinco millones de dólares (algo más de cuatro millones de euros).
No sabemos si la compañía tuvo que negociar el monto del rescate. Un representante declaró que tenían que hacer todo lo posible para reiniciar el sistema de forma rápida y segura. A partir de ese episodio, el Gobierno de Estados Unidos ha aumentado el nivel de alerta ante este tipo de amenazas, capaces de golpear una infraestructura tan estratégica.
Por otro lado, el grupo DarkSide dijo haberse disuelto tras su ataque a Colonial Pipeline. Y otras organizaciones de ciberdelincuentes han instado a sus miembros a actuar de forma más discreta. De hecho, tras la reacción de los gobiernos, los grupos ransomware estarían intentando alejarse de los focos para preservar sus modelos de negocio.
Hace poco también Irlanda sufrió un ciberataque. En este caso, fueron las redes informáticas del sistema de salud público las que se vieron afectadas. Los agresores utilizaron el llamado ‘Conti ransomware’. Se trata de una nueva familia de ransomware que adopta sofisticadas técnicas de ofuscación y anti-análisis. Puede cifrar el disco duro del ordenador de la víctima, pero también todos los recursos compartidos en la red, así como direcciones IP específicas.
Después de paralizar la atención médica en todo el país, los cibercriminales entregaron una herramienta para ayudar a revertir el daño. Sin embargo, siguieron amenazando con filtrar los datos robados en caso de que no se les pagara un rescate.
Cómo operan los negociadores de ransomware
Este último hecho se remonta a después del anuncio de la supuesta disolución por parte de Darkside. Expertos informáticos entrevistados por el ‘Washington Post’ advierten que detrás de esta avalancha de ransomware hay verdaderos profesionales del ciberdelito. El gobierno de Estados Unidos ya los ha identificado como una amenaza para la seguridad nacional. No en vano, la disolución de DarkSide se produjo después de que el presidente Joe Biden declarara que la Casa Blanca estaba en contacto con el gobierno ruso para tomar medidas contra esos grupos criminales.
Al mismo tiempo, otros grupos especialistas en ransomware han dejado de anunciar abiertamente sus servicios en línea. Mantener un perfil más bajo pues favorecer el negocio de los criminales. Karen Sprenger, directora de operaciones, es negociadora jefe de ransomware para la empresa LMG Security. Sostiene que la única forma de abordar cualquier negociación de este tipo es tratarla como un acuerdo comercial. Hay que manejar el asunto con frialdad y distanciamiento, dejando las emociones a las víctimas directas del delito cibernético.
El primer objetivo de las agencias negociadoras es recopilar información sobre qué datos pueden haber robado los ‘piratas informáticos’. Mientras las víctimas investigan el impacto e intentan restaurar sus sistemas mediante copias de seguridad. Hoy, más del 80% de las investigaciones de ciberseguridad involucran ataques con ransomware. Hace un año era aproximadamente la mitad. Además, pagar un rescate no significa necesariamente que las empresas puedan desbloquear sus datos. De hecho, resulta que Colonial Pipeline no pudo restaurar completamente sus sistemas.
En Nobbot | Los «hackers» buenos se distinguen de los malos por el color de su sombrero
Imágenes | Michael Geiger/Unsplash, Fábio Lucas/Unsplash, Markus Spiske/Unsplash