Los últimos dos años han sido testigos de un fuerte aumento en los ataques de ransomware criptocéntricos. Los malos actores no solo se están volviendo más refinados, sino que están facilitando el acceso a otros menos sofisticados. Según los expertos, el cripto crimen de esta naturaleza ha sido especialmente frecuente en medio de la pandemia de coronavirus. Pero, ¿cómo se conecta todo y qué puede hacer la industria para eliminarlo?

Como con todos los grupos, el sector de la criptomoneda tiene su porción de manzanas podridas. Desde 2018, los ataques de ransomware en todo el mundo han aumentado en un 200%. Para empeorar las cosas, el software requerido para llevar a cabo tales ataques está ampliamente disponible en la red oscura.

En Singapur, podría decirse que la situación está en un punto álgido. Las instancias del llamado “cripto-jacking”, un método de ransomware en el que los delincuentes comandan dispositivos para extraer criptomonedas, aumentaron 300% año tras año en el primer trimestre de 2020. Según la empresa de ciberseguridad Kaspersky, la creciente dificultad de la minería junto con el aumento posterior en costos de electricidad es la raíz del problema. En cuanto a por qué Singapur se ve tan desproporcionadamente afectado, Kaspersky sugirió que el Internet de alto rendimiento del país podría estar atrayendo a malos actores.

Pero esto no es en absoluto un fenómeno localizado. Según el “Informe de respuesta a incidentes y violación de datos de 2020” de la empresa de ciberseguridad Crypsis Group, los ataques de ransomware se han más que duplicado en los últimos dos años.

Parece que COVID-19 ha sido una bendición para los cibercriminales. Durante una reciente reunión en la Cámara de Representantes de los Estados Unidos, el FBI reveló un aumento del 75% en los delitos cibernéticos diarios desde el inicio del coronavirus. El testigo experto Tom Kellermann, jefe de estrategia de ciberseguridad para VMware, también citó un aumento inconcebible del 900% en los ataques de ransomware entre enero y mayo de 2020.

En declaraciones a Cointelegraph, Thomas Glucksmann, vicepresidente de desarrollo de negocios globales de la firma de análisis de blockchain Merkle Science, explicó que la escalada en los ataques de ransomware y cryptojacking podría atribuirse a la explotación de la ansiedad relacionada con la pandemia a través de campañas temáticas de COVID-19.

“Dichas campañas incluyen correos electrónicos o sitios web que ofrecen tratamientos publicitarios, información gubernamental y aplicaciones falsas que instan a los usuarios a descargar software malicioso que infecta dispositivos y puede utilizarse para comprometer datos y redes (a través de ransomware) y potencia informática (criptojacking)”.

El refinamiento de los ataques de ransomware

Junto con un aumento en los ataques llegaron técnicas y modificaciones refinadas. Esto incluye Ryuk y Sodinokibi, también conocido como “REvil”. Estas variantes de ransomware particularmente insidiosas niegan a los usuarios el acceso a su dispositivo, sistema o archivo hasta que se pague un rescate. Tanto Ryuk como REvil están diseñados para aprovecharse de las redes empresariales. Las firmas de abogados Fraser, Wheeler & Courtney LLP y Vierra Magen Marcus LLP descubrieron esto de la manera difícil.

Ambas empresas fueron víctimas del ataque de ransomware REvil del grupo de amenazas del mismo nombre. El 6 de junio, el blog oficial de darknet de REvil anunció la subasta de más de 1,7 TB de datos incautados de las bases de datos de las empresas. Se describió que la lista contenía información tanto de empresas privadas como de clientes, incluidos planes comerciales y acuerdos de patentes de empresas que van desde Asus hasta LG. El precio de oferta inicial de los datos de Fraser, Wheeler & Courtney se estableció en $ 30,000, que se pagará únicamente en Bitcoin (BTC). REvil señaló que si no se cumplía la reserva de precios, los archivos se publicarían de todos modos.

Esta no es la primera vez que REvil ha captado los titulares. El grupo golpeó previamente a Grubman Shire Meiselas & Sacks, el bufete de abogados conectado con estrellas de la música como Madonna, Lady Gaga y Nicki Minaj. Sin embargo, después de no poder extraer el pago, aparentemente cambiaron su modus operandi, aumentando las apuestas sobre sus víctimas a través de subastas públicas.

Otra pandilla de ransomware, conocida como “Maze”, llevó las cosas un paso más allá, apuntando a la firma aeronáutica afiliada al gobierno, ST Engineering Aerospace. Maze extrajo alrededor de 1,5 TB de datos de la organización, de los cuales 50 GB llegaron a la red oscura poco después. Un aspecto notable de este ataque fue que el ransomware era inicialmente indetectable. Otra raza de ransomware particularmente desagradable y casi imperceptible, apodada acertadamente “STOP”, encripta todo el sistema de la víctima y exige el pago a cambio de descifrado.

Quizás no sea una sorpresa, entonces, que el software de detección y descifrado de ransomware se esté volviendo común, ofreciendo un medio para defenderse y descifrar archivos que los atacantes no pueden acceder.

Sin embargo, los malos actores están torciendo esto a su favor al disfrazar el ransomware como software de descifrado de ransomware. En lugar de descifrar archivos infectados con ransomware, el software falso los cifra aún más, asegurando que las víctimas no tengan más remedio que pagar o enfrentar la pérdida de datos de forma permanente.

Ransomware como servicio

No solo los cibergangs sofisticados tienen acceso a estas herramientas. Para empeorar las cosas, el ransomware se vende abiertamente en la darknet. Oficialmente denominado ransomware como servicio, o RaaS, los actores de amenazas están vendiendo sus franquicias a malhechores poco expertos en tecnología.

Glucksmann señaló que si bien la mayoría de las ofertas de RaaS son fraudulentas, esta nueva criminalidad basada en el comercio está ayudando a la epidemia de ransomware: “No todo este malware para la venta es realmente utilizable, pero la existencia de dichos servicios muestra cómo el malware se ha convertido en un producto básico y tal una amenaza común “. Tomando una línea similar, la empresa de análisis de blockchain Chainalysis llegó a posicionar a RaaS como una razón para el reciente aumento de los ataques. Kim Grauer, jefe de investigación de Chainalysis, le dijo a Cointelegraph:

“Sospechamos que la proliferación de Ransomware como servicio (RaaS) está contribuyendo al aumento de los ataques de ransomware, muchos atacantes que desarrollan tecnología de ransomware ahora permiten a los atacantes menos sofisticados alquilar el acceso a él, tal como una empresa pagaría una tarifa mensual por software como G-Suite de Google. La diferencia clave es que los constructores del Ransomware también obtienen una parte del dinero de cualquier ataque exitoso “.

Afortunadamente, las agencias de aplicación de la ley están comenzando a ganar ventaja. Según los datos de la firma de seguridad cibernética Trend Micro, los derribos oficiales de múltiples mercados de redes oscuras han puesto en duda las mentes criminales. Con los datos de la red oscura en manos de las fuerzas del orden público, la protección del anonimato se convirtió en una preocupación principal entre los delincuentes, lo que provocó que las ventas de la red oscura cayeran significativamente como resultado.

Sin embargo, Grauer cree que la caída aún no fue lo suficientemente grande, ya que los ingresos del mercado generados por la red oscura ya alcanzaron los $ 790 millones, y agregó: “Todavía no hemos llegado a mediados de 2020, pero la cantidad de ingresos del mercado de la red oscura ya es más de la mitad del valor de 2019 “.

¿Las cosas son realmente tan malas?

Las criptomonedas a menudo están sobre estigmatizadas como herramientas para la corrupción. Este estereotipo ha dominado la cripto narrativa a lo largo de los años, deformado como un conveniente vector de ataque para cripto detractores. Como la evidencia sugiere, esta narrativa no es del todo precisa.

Relacionado: Actividad criminal en cripto: el hecho, la ficción y el contexto

La asociación de la industria con la actividad ilegal comenzó, como lo ha hecho todo en criptografía, con Bitcoin. Según Tom Robinson, cofundador y científico jefe de la firma de análisis de blockchain Elliptic, en los primeros días de la criptografía, alrededor de 2012, la actividad criminal representaba más de un tercio de todas las transacciones de Bitcoin. Esta cifra ha cambiado dramáticamente desde entonces, como Robinson le dijo a Cointelegraph:

“La cantidad absoluta de uso criminal de la criptografía podría haber aumentado, pero el uso general de la criptografía ha aumentado más rápido. Según las cifras de Elliptic, en 2012, el 35% de todas las transacciones de Bitcoin por valor estaban asociadas con actividades delictivas, en ese momento era principalmente comercio ilícito en el mercado oscuro de la Ruta de la Seda. Hoy, las transacciones ilícitas de Bitcoin representan menos del 1% de todas las transacciones de Bitcoin “.

Aún así, un informe de Ciphertrace sugiere que 2020 podría convertirse en un año récord para robos, piratas informáticos y fraudes relacionados con la criptomoneda. Para Grauer, todavía es demasiado pronto para llamar. “Al observar la actividad ilícita total en lo que va del año, vemos que en realidad tiene una tendencia baja en comparación con el año pasado”, dijo Kennedy, y agregó que “es posible que veamos un aumento dramático en la estafa en la segunda mitad del año”. “

Evitar ataques de ransomware

Entonces, con los ataques de ransomware más desenfrenados que nunca, hay varios métodos que las personas pueden usar para evitar ser atrapados. “Es importante que las personas y las organizaciones se mantengan informadas sobre las amenazas y técnicas emergentes”, explicó Kennedy. “Podemos ayudar a los equipos cibernéticos a cuantificar y priorizar el panorama de amenazas e identificar a los jugadores y actores emergentes que dominan la escena”. Al proporcionar algunos consejos prácticos, Glucksmann abogó por un cierto grado de paranoia a cualquier correo electrónico, sitio web, aplicación o solicitud de contacto de aspecto sospechoso.

“Garantizar que todos sus servicios en línea personales y empresariales estén protegidos con autenticación de múltiples factores también puede dificultar que un actor de amenazas obtenga sus datos o fondos de criptomonedas, incluso si de alguna manera pueden comprometer su dispositivo. Para una configuración de autenticación multifactor más sólida, recomendaría un token de hardware en lugar de un dispositivo móvil “.

“No pague el rescate, ya que esto podría ser considerado ilegal por la policía en muchas jurisdicciones”, se apresuró a agregar Glucksmann.