En esta entrevista de Help Net Security, Tim West, director de inteligencia y divulgación de amenazas en WithSecure , analiza el ransomware como servicio (RaaS) centrándose en cómo estas operaciones cibercriminales se están adaptando a una mayor competencia, estructuras cambiantes y un ecosistema fragmentado.
West habla sobre las implicaciones de estos cambios para las industrias objetivo, particularmente la ingeniería y la fabricación, y examina la creciente dependencia de los actores del ransomware de herramientas de doble uso.
¿Cómo ha evolucionado el panorama del ransomware como servicio (RaaS)? ¿Estamos viendo un cambio en la forma en que se estructuran estas operaciones o en los tipos de afiliados que atraen?
Estamos viendo una mayor competencia a medida que las marcas establecidas buscan atraer afiliados. Con la caída de grupos destacados como LockBit y ALPHV, muchos afiliados se han vuelto «nómadas» y buscan nuevos colectivos de RaaS con los que alinearse. Esto ha intensificado la competencia dentro del ecosistema, ya que las diferentes marcas de RaaS se esfuerzan por ofrecer términos más atractivos, mejores herramientas y pagos confiables para atraer a estos operadores experimentados.
Grupos más pequeños como Medusa y Cloak ofrecen incentivos atractivos para que los afiliados de las entidades disueltas se unan a ellos. Por ejemplo, Medusa ofrece hasta un 90 % de participación en las ganancias a los afiliados de LockBit y ALPHV, y Cloak permite que los afiliados se unan de forma gratuita sin ningún pago inicial.
Por lo tanto, estructuralmente, muchas operaciones de ransomware han adoptado un enfoque más modular y descentralizado. En lugar de un único grupo integrado verticalmente que se encarga de toda la cadena de ataque, muchos modelos de RaaS exitosos ahora pueden considerarse redes poco afiliadas.
Los distintos grupos se especializan en fases específicas de un ataque, como el acceso inicial, el movimiento lateral o la extorsión. Esta separación de funciones ha hecho que la atribución sea más compleja y ha aumentado la resiliencia del ecosistema frente a perturbaciones como las acciones de las fuerzas del orden.
El papel de los agentes de acceso inicial (IAB) también ha evolucionado dentro del ecosistema RaaS. Estos IAB pueden estar bien financiados y ser muy capaces, y brindar apoyo a diversos actores maliciosos al brindar acceso confiable y escalable.
Los actores han industrializado el proceso de explotación en toda Internet, reduciendo así las barreras de entrada para los operadores de ransomware. Los IAB se especializan en encontrar, utilizar como arma y vender el acceso a sistemas vulnerables. Se encargan de la complejidad de explotar vulnerabilidades, sortear filtros y gestionar operaciones de escaneo y explotación a gran escala. Este modelo de servicio ahora permite a los afiliados de ransomware comprar acceso listo para usar sin necesidad de conocimientos técnicos profundos.
Parece que los ataques de ransomware dirigidos a sectores específicos, como la ingeniería y la fabricación, están en aumento. ¿Cuáles son las implicaciones para estas industrias y por qué podrían ser objetivos especialmente atractivos?
Nuestra última investigación mostró que la ingeniería y la fabricación fueron los sectores más afectados en la primera mitad de 2024, con un 20,59 % de todas las víctimas observadas. El alto impacto operativo que supone interrumpir el funcionamiento de estas industrias puede convertirlas en objetivos atractivos. El tiempo de inactividad en estos sectores puede dar lugar a importantes pérdidas financieras, incumplimiento de plazos e incluso sanciones contractuales. Los cronogramas de producción sensibles al tiempo aumentan la presión para pagar rescates rápidamente para restablecer las operaciones.
Si bien la mayoría de los actores de RaaS tienden a centrarse en vulnerabilidades y oportunidades en lugar de sectores específicos, las cadenas de suministro complejas pueden dificultar las operaciones de ciberseguridad. Ambas industrias están profundamente interconectadas con varios proveedores, socios y clientes. Un ataque de ransomware exitoso contra una sola entidad puede tener efectos en cascada a lo largo de la cadena de suministro, lo que amplifica el impacto del ataque. Esta interconectividad aumenta la influencia que tienen los grupos de ransomware durante las negociaciones, ya que las consecuencias de un tiempo de inactividad prolongado se extienden mucho más allá de la víctima inmediata.
Los datos confidenciales y la propiedad intelectual (PI), incluidos diseños, planos y secretos comerciales, son fundamentales para mantener una ventaja competitiva y, por lo tanto, son activos lucrativos para el robo o la venta.
También descubrimos que los grupos de ransomware están abandonando las prácticas anteriores de evitar sectores críticos como la atención médica. En términos de impacto para la sociedad, estos ataques suelen ser mucho más graves. Anteriormente, los grupos de ransomware se habían abstenido en gran medida de atacar sectores que podrían desencadenar respuestas severas de los gobiernos o las fuerzas del orden. Sin embargo, la cantidad general de ataques a la atención médica se mantendrá constante como proporción del total de víctimas en 2024.
Los grupos de ransomware atacarán indiscriminadamente a cualquier organización que se considere que tiene los recursos para pagar. Además, la falta de inversión histórica de estos sectores en ciberseguridad en comparación con los sectores financieros o tecnológicos los convierte en objetivos atractivos.
La confianza entre los actores del ransomware parece estar debilitándose. ¿Qué impacto puede tener esta desconfianza en el ecosistema del ransomware y podría conducir a operaciones más fragmentadas o descentralizadas?
Siempre escuchamos la expresión «no hay honor entre ladrones», y esto se está haciendo realmente evidente en algunos de los recientes incidentes de ransomware. Recientemente hemos visto la estafa de salida de ALPHV, donde los afiliados fueron supuestamente estafados y perdieron sus ganancias. Por lo tanto, eventos como estos y la represión a grupos más grandes como LockBit probablemente estén generando una sensación de desconfianza y aumentando las tensiones en las comunidades de cibercriminales.
A medida que se desmorone la confianza, es probable que veamos un ecosistema de ransomware más fragmentado. Los afiliados leales pueden dividirse para formar sus propias marcas o cambiar su lealtad a otros grupos que perciben como más confiables. Esta fragmentación podría conducir al surgimiento de colectivos de ransomware más pequeños y menos predecibles.
Es posible que veamos cambios de marca sencillos de 1 a 1 , similares a cuando DarkSide cambió su nombre a BlackMatter después del ataque a Colonial Pipeline en 2021. Sin embargo, también estamos viendo cambios de marca de 1 a muchos que se vuelven más prominentes, donde los afiliados de una sola variante generan múltiples marcas nuevas. Por ejemplo, las variantes de ransomware como 8base y Faust pueden ser derivadas de una sola fuente.
Independientemente del tipo, esta fragmentación y descentralización dificulta que las fuerzas de seguridad persigan a grupos específicos, ya que los modelos jerárquicos tradicionales dan paso a redes de actores más fluidas y distribuidas. Al mismo tiempo, desde la perspectiva de un defensor, la desconfianza entre los cibercriminales es beneficiosa, ya que probablemente los vuelve menos efectivos, menos eficientes y más fáciles de defender.
El uso cada vez mayor de herramientas de doble uso por parte de los atacantes de ransomware complica la detección y la respuesta. ¿Cómo deberían los equipos de seguridad adaptar sus estrategias para identificar y mitigar mejor las amenazas de estas herramientas?
Las herramientas que encontramos que los actores de RaaS usan comúnmente incluyen PDQ Connect, Action1, AnyDesk y TeamViewer para el acceso remoto, así como rclone, rsync, Megaupload y FileZilla para la exfiltración de datos . Se trata de herramientas de software legítimas que se usan comúnmente en las operaciones de TI. Por lo tanto, esta naturaleza de doble propósito les permite evadir los controles antimalware tradicionales y mezclarse sin problemas con la actividad normal de la red, lo que hace que la detección y la respuesta sean más difíciles. Los métodos de detección tradicionales basados en firmas son menos efectivos contra estas herramientas de doble uso.
Los equipos de seguridad deberían pasar a realizar análisis de comportamiento, centrándose en identificar patrones de comportamiento inusuales o sospechosos en lugar de confiar únicamente en firmas de malware conocidas. Por ejemplo, si una herramienta normalmente inocua como TeamViewer se utiliza fuera del horario laboral habitual o desde una dirección IP inusual, podría indicar una actividad maliciosa.
Es fundamental establecer una línea base de actividad normal para las herramientas de doble uso dentro de la organización. Al comprender los patrones de uso típicos, los equipos de seguridad pueden detectar desviaciones que puedan indicar un uso indebido de manera más eficaz. Por ejemplo, si una herramienta como rclone se utiliza de repente para transferir grandes volúmenes de datos a un servidor externo desconocido, esto debería activar una alerta, incluso si la herramienta en sí es legítima.
Las soluciones de gestión de la exposición también pueden desempeñar un papel crucial. Estas tecnologías proporcionan a los equipos de seguridad una visibilidad completa de toda su red extendida e identifican sistemas vulnerables, configuraciones incorrectas o activos de alto riesgo que podrían explotarse mediante herramientas legítimas.
La tendencia de los actores de ransomware a priorizar el robo de datos por sobre los ataques de cifrado tradicionales es cada vez más pronunciada. ¿Cómo cambia esto el panorama de riesgos para las organizaciones y en qué deberían centrarse sus medidas defensivas?
El robo de datos de alto valor, como datos personales, registros financieros e información de clientes, brinda a los cibercriminales una poderosa ventaja en las negociaciones de rescates . Las organizaciones también enfrentan daños a largo plazo por la pérdida de confianza de los clientes, sanciones regulatorias y daño a la reputación.
Los cibercriminales descubren que concentrarse en el robo de datos requiere menos tiempo y menos recursos que implementar un cifrado a gran escala en toda la organización. Este enfoque de «ataque y robo» permite a los atacantes ejecutar ataques rápidamente y pasar al siguiente objetivo, lo que aumenta su eficiencia general.
Para defenderse de estas tácticas es necesario centrarse urgentemente en la protección de datos. Las prioridades fundamentales incluyen la identificación y protección de datos confidenciales, la implementación de controles de acceso estrictos y la supervisión continua de actividades sospechosas de acceso y exfiltración de datos.
Además, implementar el cifrado de datos en reposo y en tránsito puede reducir el valor de los datos robados. Si los actores del ransomware logran exfiltrar datos , los datos cifrados permanecen ilegibles e inutilizables sin las claves de descifrado correspondientes.
Al mismo tiempo, las defensas tradicionales contra el cifrado de ransomware, como las estrategias de copia de seguridad y la segmentación de la red, siguen siendo importantes.
Las empresas también deben asegurarse de que sus planes de respuesta a incidentes aborden los desafíos particulares que plantea el robo de datos. Esto incluye prepararse para posibles escenarios de doble extorsión y estar listos para gestionar las consecuencias con los clientes y otras partes interesadas.
En general, las organizaciones deben centrarse más en la seguridad de los datos y prepararse para escenarios de extorsión más complejos. Aquellas que cuentan con una sólida gestión de la exposición y herramientas de seguridad maduras centradas en la contención de las infracciones están mejor posicionadas para mitigar estas amenazas en constante evolución.
Fuente y redacción: Mirko Zorz / helpnetsecurity.com
