Los Ransomware con criptomonedas se están extendiendo como un incendio forestal
Los últimos dos años han sido testigos de un fuerte aumento en los ataques de ransomware con criptomonedas. No sólo los malos actores se están volviendo más refinados, sino que están facilitando el acceso a otros menos sofisticados. Según los expertos, los crímenes de criptomonedas de esta naturaleza han sido especialmente frecuentes en medio de la pandemia de coronavirus. Pero ¿cómo se conecta todo esto, y qué puede hacer la industria para erradicarlo?
Como todos los grupos, el sector cripto tiene su parte de manzanas podridas. Desde 2018, los ataques de ransomware en todo el mundo han aumentado en un 200%. Para empeorar las cosas, el software necesario para llevar a cabo tales ataques está ampliamente disponible en la Dark Net.
En Singapur, se puede decir que la situación está en un punto álgido. Los casos de los llamados “cripto-secuestro” – un método de ransomware en el que los delincuentes se apoderan de los dispositivos para minar criptomonedas – aumentaron un 300% interanual en el primer trimestre de 2020. Para la empresa de seguridad cibernética Kaspersky, la creciente dificultad de la minería, junto con el consiguiente aumento de los costos de la electricidad, está en la raíz del problema. En cuanto a las razones por las que Singapur se ve tan desproporcionadamente afectado, Kaspersky sugirió que el alto rendimiento de Internet del país puede estar atrayendo a malos actores.
Pero no se trata en absoluto de un fenómeno localizado. Según el “Informe de Respuesta a Incidentes e Infracciones de Datos 2020” de la empresa de seguridad cibernética Crypsis Group, los ataques de ransomware se han duplicado con creces en los últimos dos años.
Parece que el COVID-19 ha sido una bendición para los ciberdelincuentes. Durante una reciente reunión de la Cámara de Representantes de los Estados Unidos, el FBI reveló un aumento del 75% en los crímenes cibernéticos diarios desde el inicio del coronavirus. El testigo experto Tom Kellermann, jefe de la estrategia de seguridad cibernética de VMware, también citó un aumento inconcebible del 900% en los ataques de ransomware entre enero y mayo de 2020.
Hablando con Cointelegraph, Thomas Glucksmann, vicepresidente de desarrollo de negocios globales de la firma analítica Blockchain Merkle Science, explicó que la escalada de los ataques de ransomware y de secuestro de datos podría atribuirse a explotar la ansiedad relacionada con la pandemia a través de campañas temáticas dirigidas a COVID-19.
“Esas campañas incluyen correos electrónicos o sitios web que anuncian tratamientos, información del gobierno y aplicaciones falsas que incitan a los usuarios a descargar software malicioso que infecta los dispositivos y puede utilizarse para comprometer los datos y las redes (a través de los ransomware) y la potencia de los ordenadores (criptojacking)”.
El perfeccionamiento de los ataques de ransomware
Junto con un aumento en los ataques vinieron técnicas refinadas y modificaciones. Esto incluye a Ryuk y Sodinokibi – también conocido como “REvil”. Estas variantes de software del ransomware particularmente insidiosas niegan a los usuarios el acceso a su dispositivo, sistema o archivo hasta que se pague un rescate. Tanto Ryuk como REvil están diseñados para aprovecharse de las redes empresariales. Los bufetes de abogados Fraser, Wheeler & Courtney LLP y Vierra Magen Marcus LLP lo descubrieron por las malas.
Ambas firmas fueron víctimas del ataque ransomware de REvil del grupo de amenazas del mismo nombre. El 6 de junio, el blog oficial de REvil anunció la subasta de más de 1.7 TB de datos incautados de las bases de datos de las empresas. La lista fue descrita como conteniendo información tanto de empresas privadas como de clientes, incluyendo planes de negocios y acuerdos de patentes de empresas que van desde Asus a LG. El precio de salida de la subasta de los datos de Fraser, Wheeler & Courtney se fijó en 30.000 dólares, que se pagarán únicamente en Bitcoin (BTC). REvil señaló que si no se llegaba al precio, los archivos se publicarían de todas formas.
Esta no es la primera vez que REvil ha sido noticia en los titulares. El grupo previamente golpeó a Grubman Shire Meiselas & Sacks – el bufete de abogados conectado a estrellas de la música como Madonna, Lady Gaga y Nicki Minaj. Sin embargo, tras no conseguir el pago, parece que cambiaron su modus operandi, aumentando las apuestas de sus víctimas a través de subastas públicas.
Otra banda de ataques ransomware, conocida como “Maze”, llevó las cosas un paso más allá, apuntando a la empresa aeronáutica afiliada al gobierno, ST Engineering Aerospace. Maze obtuvo alrededor de 1.5 TB de datos de la organización, 50 GB de los cuales llegaron a la Dark Net poco después. Un aspecto notable de este ataque fue que el ransomware fue inicialmente indetectable. Otro tipo de ransomware particularmente desagradable y casi imperceptible, apodado acertadamente “STOP”, cifra todo el sistema de la víctima, exigiendo el pago a cambio de la descodificación.
No es de extrañar, pues, que el software de detección y desencriptación de programas de ransomware se esté convirtiendo en algo habitual, ya que ofrece un medio para combatir y desencriptar archivos a los que los atacantes no pueden acceder.
Sin embargo, los malos actores están tergiversando esto a su favor disfrazando el software de ransomware como software de desencriptación del ransomware. En lugar de descifrar los archivos infectados por el ataque de ransomware, el software falso los cifra aún más, asegurando que las víctimas no tengan otra opción que pagar o enfrentarse a la pérdida de datos de forma permanente.
El ransomware como servicio
No sólo los ciberorganismos sofisticados tienen acceso a estas herramientas. Para empeorar las cosas, el software de ransomware se vende abiertamente en la dark net. Los hackers de ransomware como servicio, o RaaS por sus siglas en inglés, están vendiendo sus franquicias a malhechores poco expertos en tecnología.
Glucksmann señaló que, aunque la mayoría de las ofertas de RaaS son inútiles, esta nueva criminalidad basada en el comercio está ayudando sin embargo a la epidemia de los ransomware: “No todo este malware a la venta es realmente utilizable, pero la existencia de estos servicios muestra cómo el malware se ha convertido en una mercancía y en una amenaza tan común“. En una línea similar, la firma de análisis Blockchain Chainalysis llegó a posicionar al RaaS como una razón para el reciente aumento de los ataques. Kim Grauer, jefe de investigación de Chainalysis, le dijo a Cointelegraph:
“Sospechamos que la proliferación de Ransomware as a Service (RaaS) está contribuyendo al aumento de los ataques de ransomware, muchos atacantes que desarrollan tecnología de ransomware permiten ahora a los atacantes menos sofisticados alquilar el acceso a ella, de la misma manera que una empresa pagaría una cuota mensual por un software como el G-Suite de Google”. La diferencia clave es que los constructores del Ransomware también obtienen una parte del dinero de cualquier ataque exitoso”.
Afortunadamente, las agencias de la ley están empezando a ganar ventaja. Según datos de la empresa de seguridad cibernética Trend Micro, las tomas oficiales de múltiples mercados en la Dark Net han sembrado la duda en las mentes de los delincuentes. Con los datos de la Darknet en manos de las fuerzas del orden, la protección del anonimato era una de las principales preocupaciones de los delincuentes, lo que hizo que las ventas de Darknet disminuyeran considerablemente.
Sin embargo, Grauer cree que la caída no fue lo suficientemente grande, ya que los ingresos del mercado generados por la Darknet ya han alcanzado los 790 millones de dólares: “Aún no hemos llegado a la mitad del año 2020, pero la cantidad de ingresos del mercado de la Dark net ya es más de la mitad del valor de 2019“.
¿Las cosas están realmente tan mal?
Las criptomonedas son a menudo estigmatizadas como herramientas para la corrupción. Este estereotipo ha dominado la narrativa cripto a lo largo de los años, deformado como un conveniente vector de ataque para los detractores de las criptomonedas. Como la evidencia sugiere, esta narrativa no es del todo precisa.
Relacionado: Actividad criminal en el mundo cripto: La realidad, la ficción y el contexto
La asociación de la industria con la actividad ilegal comenzó – como todo en el mundo cripto – con Bitcoin. De acuerdo con Tom Robinson, cofundador y científico jefe de la firma analítica Blockchain Elliptic, en los primeros días de las criptomonedas, alrededor de 2012, la actividad criminal representaba más de un tercio de todas las transacciones de Bitcoin. Esta cifra ha cambiado dramáticamente desde entonces, como Robinson dijo a Cointelegraph:
“La cantidad absoluta de uso criminal de las criptomonedas podría haber aumentado, pero el uso general de las criptomonedas ha aumentado más rápidamente. Según las cifras de Elliptic, en 2012, el 35% de todas las transacciones de Bitcoin por valor estaban asociadas a actividades delictivas – en ese momento era sobre todo comercio ilícito en el mercado negro de Silk Road. Hoy en día, las transacciones ilícitas de Bitcoin representan menos del 1% de todas las transacciones de Bitcoin”.
Aun así, un informe de Ciphertrace sugiere que 2020 podría convertirse en un año récord en cuanto a robos, piratería y fraude relacionados con criptomonedas. Para Grauer, todavía es demasiado pronto para llamarlo así. “Si observamos la actividad ilícita total en lo que va de año, vemos que en realidad tiende a ser baja en comparación con el año pasado”, dijo Kennedy, y añadió que “es posible que veamos un drástico aumento de las estafas en la segunda mitad del año”.
Evitar los ataques de ransomware
Por lo tanto, con los ataques de ransomware más desenfrenados que nunca, hay varios métodos que la gente puede usar para evitar ser atrapada. “Es importante que las personas y las organizaciones se mantengan informadas sobre las amenazas y técnicas emergentes“, explicó Kennedy. “Podemos ayudar a los equipos cibernéticos a cuantificar y priorizar el panorama de las amenazas y a identificar a los actores emergentes y a los que dominan la escena”. Proporcionando algunos consejos prácticos, Glucksmann abogó por un grado de paranoia a cualquier correo electrónico, sitio web, aplicación o solicitud de contacto de aspecto sospechoso.
“Asegurarse de que todos los servicios en línea personales y de la empresa estén protegidos con una autenticación de multi-factor también puede dificultar que un hacker obtenga sus datos o criptomonedas encriptadas, incluso si de alguna manera pueden comprometer su dispositivo. Para una configuración de autenticación multifactorial más fuerte, recomendaría encarecidamente un token de hardware en lugar de un dispositivo móvil”.
“No pague el rescate, ya que esto podría ser considerado ilegal por las fuerzas del orden en muchas jurisdicciones“, se apresuró a añadir Glucksmann.
Sigue leyendo: