Revisamos el panorama actual del ransomware y algunos cambios en la forma en que operan las familias de ransomware actuales.
Han pasado cuatro años desde que apareció el infame ransomware WannaCry el 12 de mayo de 2017, que luego se convertiría en un hito para la industria de la seguridad y especialmente para el ransomware, ya que se produciría una amenaza. Ese día, WannaCry comenzó a extenderse masivamente a nivel mundial y se convirtió en uno de los eventos más importantes del mundo. Desde entonces, el panorama del ransomware ha cambiado mucho; especialmente en 2020.
Por tanto, como es importante no olvidar si queremos evitar repetir los mismos errores del pasado, en este artículo proponemos dos cosas: analizar qué sucede con WannaCry cuatro años después y especialmente en Latinoamérica, donde según ESET telemetry Este sigue siendo el caso. La familia Filecoder más detectada en los últimos meses, y una breve revisión de cómo ha cambiado el panorama del ransomware a nivel mundial y en la región.
Dirigido vs. campañas masivas
En general, existe una tendencia a la baja en el número de detecciones en la familia Filecoder, es decir, ransomware basado en el cifrado de información. Según los datos de telemetría de ESET, las campañas que buscan difundir ransomware en masa se han reducido en un 35% entre el primer y el último trimestre de 2020.
Como se muestra en el gráfico de la Imagen 1, la tendencia a la baja en los ataques de ransomware de diseminación masiva ha continuado desde 2019; es decir, se distribuyen de forma aleatoria y automática, como era el caso de WannaCry.
Es probable que esta disminución se deba a un cambio en el enfoque de los operadores detrás de los grupos de ransomware que han encontrado un negocio más rentable en los ataques dirigidos, conocidos en inglés como ransomware operado por humanos o “ransomware operado por humanos”. En los ataques dirigidos analizados anteriormente, los ciberdelincuentes han encontrado una forma más eficaz de ganar dinero, lo que aumenta las posibilidades de que las víctimas paguen el rescate requerido y por mayores cantidades de dinero. Además, los atacantes combinaron este enfoque con otras medidas coercitivas para presionar a las víctimas. Este enfoque despertó el interés de muchos ciberdelincuentes y condujo a un crecimiento en el modelo Ransomware-as-a-Service (RaaS), en el que los desarrolladores de malware abren la puerta para que otros delincuentes participen como socios en la distribución de la amenaza para cambiar un porcentaje. de ganancias.
Imagen 1. Tendencia a la baja en las detecciones de ransomware en todo el mundo.
De hecho, a lo largo de 2020 y también en 2021, seguimos viendo ataques de ransomware de varios grupos que operan bajo el modelo RaaS que tienen como víctimas a grandes empresas y exigen rescates cada vez mayores – en 2020 hubo un aumento de más del 300% en las ganancias. que las bandas de ransomware hicieron mediante el pago de rescates, lo que hace que el ransomware sea un negocio muy rentable con graves consecuencias no solo para las empresas, sino también para la sociedad, como fue el caso del reciente ataque de ransomware DarkSide en el oleoducto más grande de Estados Unidos que ha afectado el suministro de combustible en gran medida del país.
Nuevas estrategias coercitivas agregadas por operadores de ransomware
Además de encriptar información en equipos comprometidos para exigir dinero a cambio de recuperar información, que por cierto es la característica principal de Filecoders, varios grupos que operan con este tipo de ransomware han agregado nuevas estrategias a su esquema de ataque para aumentar la posibilidad de monetizar los ciberataques.
Por ejemplo, la técnica conocida como “doxing”, que implica el robo de información y posterior extorsión bajo la amenaza de hacer públicos datos sensibles exfiltrados, es una tendencia que se empezó a observar a finales de 2019 y se consolidó en 2020 con varios grupos de ransomware. adoptarlo en caso de que no se pague el secuestro por la información encriptada.
Además, se han sumado otras tácticas extorsivas, como el llamado “bombardeo de impresión”, que consiste en utilizar las impresoras disponibles en la red de víctimas para imprimir el mensaje de los agresores con el monto que exigen del rescate.
Otro mecanismo de presión sobre las víctimas implementado por algunas de estas bandas ciberdelincuentes son las llamadas o “llamadas en frío” al personal de las organizaciones afectadas para negociar y amenazarlas con el daño que puede ocasionar la filtración de la información robada; especialmente en los casos en que las víctimas buscan evitar pagar el rescate y optan por restaurar los sistemas a partir de copias de seguridad.
Por si fuera poco, otra de las medidas de presión que han incorporado algunos grupos son los ataques DDoS a las webs de las organizaciones afectadas.
A nivel mundial, los ataques masivos disminuyen, pero en América Latina crecen
Aunque, como dijimos antes, los ataques de ransomware masivo global han disminuido desde 2018, en América Latina esta tendencia no es cierta. Según datos de telemetría de ESET, 2020 fue el año con mayor porcentaje de detecciones de ransomware en la región, superando incluso los récords de 2015, año en el que surgieron las primeras familias de ransomware dirigidas a usuarios de habla hispana, como es el caso de CTB. -Armario.
Imagen 2. Tendencia de crecimiento de las detecciones de ransomware en América Latina.
Es decir, la región ha estado involucrada en campañas de propagación masiva y ataques dirigidos, donde uno de los pasos finales es precisamente la ejecución de una familia de ransomware, como Maze, Revil / Sodinokibi, DopplePaymer, NetWalker o Egregor, por nombrar un pocas de las familias que fueron noticia en los medios de comunicación de la región el año pasado.
Aunque algunas familias de ransomware no aparecen con un alto porcentaje de detecciones, esto no significa que no hayan causado daños importantes. Este bajo número de detecciones tiene más que ver con menos ataques (aunque dirigidos) y también con el hecho de que los mecanismos de propagación de los ataques dirigidos son muy diversos.
Por qué cuatro años después de su primera aparición, WannaCry sigue siendo el ransomware más detectado en América Latina
El comportamiento de detección en la región de América Latina está determinado en gran medida por WannaCryptor. A lo largo de 2020, WannaCry (56,4%) fue la familia con mayor porcentaje de detección en Latinoamérica, seguida de STOP (12,2%), Crysis (7,4%), Fobos (4,7%) y Filadelfia (1,9%).
Gráfico 3. Ransomware con mayor detección en América Latina durante 2020.
En este contexto, los países más afectados por esta familia de ransomware de distribución masiva fueron Venezuela (52,5%), seguido de Ecuador (11,5%), Colombia (8,9%), México (8,0%) y Perú (7,4%).
Imagen 4. Países de América Latina con mayor porcentaje de detección de WannaCry en 2020.
Las detecciones están vinculadas a hashes conocidos que continúan propagándose en redes con sistemas desactualizados que aún no han instalado el parche lanzado hace cuatro años, y con el uso de técnicas de propagación relacionadas con el ransomworm, la característica principal de WannaCry y que hace que se produzca. difundir en la red masiva.
La ciberseguridad, una tarea permanente e importante
Han pasado cuatro años desde que WannaCry apareció en el mundo y todos sabemos cuáles fueron las consecuencias. Sin embargo, a pesar del tiempo transcurrido, seguimos observando el impacto y la propagación de este tipo de amenazas, que continúan encontrando las condiciones adecuadas para ser efectivas, probablemente en los mercados menos desarrollados.
Además de este panorama que se da en la región, observamos la vigencia, evolución y continua reinvención del ransomware como amenaza. Estos cambios pueden justificar un cambio en la definición del concepto de ransomware, especialmente las familias nuevas y más populares de ransomware que a menudo se asocian con ataques dirigidos, ya que en algunos casos estos códigos maliciosos operan como amenazas persistentes avanzadas.
Por ello, cada vez es más necesario que las medidas y soluciones de seguridad mejoren y evolucionen constantemente como o más rápido que las amenazas y, como sucedió en mayo de 2017 donde todos hablaron de la importancia y necesidad de la ciberseguridad, que el trabajo de educación y sensibilización sea permanente de todos trincheras.