Geopolítica, monetización y ransomware

¡Hola a todos! El ransomware se ha constituido en los últimos tiempos como una de las mayores ciberamenazas existentes y relevantes a nivel global. Si bien familias concretas como WannaCry y NotPetya llegaron a paralizar el mundo y dieron paso a una mayor conceptualización de la ciberguerra, en el presente el uso del ransomware se ha generalizado, pero no como ciberamenazas que contribuyen al escenario mencionado tan inmersivamente, sino como ciberamenazas cuyo despliegue permite a los actores que las desarrollan obtener un beneficio económico elevado. 

Por tanto, la monetización prevalece en este caso como la motivación principal por la que el ransomware está en auge. No obstante no es la única, pues la geopolítica también desarrolla un papel fundamental en este sentido. Esta y otras circunstancias, tales como el ciclo de vida que conforma las campañas y ciberataques de ransomware, las distintas tácticas de monetización y extorsión existentes, cuáles son las familias que más están afectando a la sociedad internacional actual o qué ciberataques de ransomware son los que más recientemente han puesto en jaque a la ciberseguridad, son algunas de las líneas de investigación principales que se han perseguido en este artículo, el cual esperamos sea de su agrado.

Uno de los mayores conflictos que enfrenta la sociedad actual en el ámbito ciberespacial es el de los actores especializados en las actividades relacionadas con el despliegue de ransomware en los sistemas y máquinas objetivo. En este sentido, esta clase de actores han pasado a ser considerados como una de las mayores ciberamenazas a las que deben enfrentarse los organismos dedicados a la promoción de la ciberseguridad. Pero no solo ellos, pues cualquier organismo o entidad alrededor de todo el planeta podría verse involucrado en una campaña de este tipo, por lo que compete a todos participar en la lucha por reducir su incidencia e impacto.

Hace ya un par de años se explicaba en este mismo blog que Lazarus paralizó el mundo con el desarrollo y el despliegue de WannaCry, un ransomware que, aprovechando el exploit EternalBlue, logró afectar a más de 230.000 sistemas en 150 países distintos. Sin embargo, el panorama actual ha cambiado en gran medida con respecto a aquella sonada campaña. Los actores especializados en ransomware que ejecutan sus actividades en el presente no persiguen, al menos de forma directa, una finalidad que pudiese estar relacionada con la ciberguerra. Existen ciertas motivaciones geopolíticas que continúan presentes, pero si algo caracteriza a las operaciones y campañas de ransomware que tienen lugar en el presente es el afán de sus desarrolladores por la monetización de las acciones que hubiesen emprendido.

Los actores de ransomware comienzan sus campañas empleando el ciclo habitual en cualquier ciberataque, lo que ha pasado a conocerse como Cyber Kill Chain, esto es, su ciclo de vida. Habitualmente está compuesta por siete etapas que se van sucediendo, a saber:

• Reconocimiento. En primer lugar, el atacante obtiene información de la entidad contra la que pretende actuar mediante la inteligencia de fuentes abiertas, también conocida como Open Source Intelligence (OSINT), entre otras muchas metodologías de descubrimiento de activos. De esta manera, trata de identificar posibles defectos, vulnerabilidades y debilidades que podrían conseguir que el ciberataque fuese efectivo.
• Preparación. En segundo lugar, se confeccionan las herramientas, vectores de ataque y demás aspectos que permitirán la ejecución del ciberataque. Por ejemplo, se podría abogar por la utilización de tácticas de ingeniería social o por la elaboración de documentos especialmente diseñados, entre otros.
• Distribución. En esta tercera fase se despliega el ciberataque con la utilización de algún vector de ataque exitoso, como podría constituir la apertura por parte del personal de la organización objetivo del documento malicioso previamente desarrollado, así como mediante la introducción de sus credenciales en una página de phishing.
• Explotación. El cuarto paso de esta cadena tiene por objetivo el compromiso de la máquina objetivo y su propagación por la red adyacente, por lo que, en este caso, los ciberdelincuentes suelen recurrir a la utilización de exploits que aprovechan vulnerabilidades conocidas, pero no parcheadas en el seno de la entidad objetivo, así como vulnerabilidades de día cero.
• Instalación. En quinto lugar, el actor que hubiese ejecutado la amenaza despliega la carga útil, si bien en el marco de algunos tipos de ciberataques, como podría ocurrir con el robo de credenciales o en incidentes de fraude del CEO, este paso no resulta imprescindible.
• Comando y control. Una vez el actor hubiese obtenido el control del sistema objetivo, el siguiente paso consistiría en realizar determinadas actividades maliciosas, en función de la finalidad del ciberataque, desde lo que se conoce como servidor de comando y control (C&C), el cual se encuentra en poder del atacante y le permite ejecutar órdenes sobre el sistema infectado.
• Acciones sobre los objetivos. En séptimo y último lugar (aunque esto es relativo, ya que el ciclo de vida de un ciberataque transcurre de manera cíclica y no lineal, como su propio nombre indica), el actor recopila datos e información del sistema comprometido y trata, por lo general, de incrementar el impacto del ciberataque mediante la infección de otra serie de objetivos.

En el caso de los actores especializados en la realización de actividades vinculadas al ransomware, la carga útil que despliegan sobre el sistema o red comprometida consiste en un malware de esta tipología, que tiene por objetivo la realización de una copia en los servidores de los atacantes de todos los ficheros, datos e información que hubiesen podido recopilar de la máquina o red infectadas, para, posteriormente, pasar a ejecutar un proceso de cifrado de toda la información contenida en los servidores de la organización atacada. Todo ello, como ya se ha expresado con anterioridad, con fines de monetización, es decir, el actor impide que la organización afectada por el ciberataque pueda acceder a sus propios ficheros e información, causando indisponibilidad en sus sistemas, con la pretensión de exigir un rescate económico a cambio de obtener una clave de descifrado que les permita, en teoría, recuperar los activos perdidos.

De hecho, para fomentar el pago del rescate, los actores especializados en el ransomware también suelen eliminar las copias de seguridad y procesos de backup y antivirus que existiesen en los sistemas comprometidos antes de desplegar la carga útil, tratando de evadir la detección de la amenaza y de provocar que los datos afectados sean irrecuperables de otra forma que no sea accediendo a las pretensiones demandadas por los atacantes. Teniendo en cuenta todo lo anteriormente expuesto, los ciberataques de ransomware poseen unas implicaciones desorbitadas en términos de pérdida de disponibilidad de datos, pudiendo ocasionar también grandes pérdidas económicas al mismo tiempo que entraña un riesgo elevado para la privacidad de los usuarios, tanto de empleados como de clientes de las organizaciones atacadas, dado que, hay que recordar, los actores de ransomware almacenan en sus servidores de comando y control una copia de la información accedida, la cual, casi sin ninguna duda, albergará datos sensibles, restringidos o confidenciales.

Sin embargo, el ciberataque no concluye en ese instante, puesto que esta clase de actores han percibido un potencial de monetización aún mayor en las campañas de esta índole. Es por ello por lo que han comenzado a abogar por la ejecución de tácticas de doble o incluso triple extorsión. El ransomware, análogamente al secuestro, pretende alcanzar con éxito la meta para la que fue concebido, de modo que, para conseguirlo, los actores que lo desarrollan no dudan en efectuar actividades novedosas que pudieran hacer más proclives a las organizaciones afectadas al pago del rescate exigido. En este sentido, la doble extorsión consistiría, como su propio nombre indica, en presionar doblemente a la entidad comprometida: en primer lugar, mediante la exigencia del rescate para obtener la clave de descifrado de los ficheros; en segunda instancia, comprometiéndose los atacantes a no filtrar la información obtenida e incluso a borrarla, dado que, si la divulgasen, la entidad afectada podría verse envuelta en distintos tipos de escándalos o sanciones por la inadecuada protección de los datos de sus usuarios.

A esta circunstancia también se ha sumado, desde hace relativamente poco tiempo, la táctica de la triple extorsión, que consiste en efectuar todos los pasos anteriores y, además, concluir el ciberataque con una campaña de denegaciones de servicio sobre los sistemas afectados, provocando que las pérdidas de la organización pudiesen incrementarse y, de este modo, hacerla más proclive a acceder a pagar el rescate propuesto. A todo lo anterior se suma otra circunstancia, y es que como a los actores de ransomware les resulta favorable que el pago del rescate se efectúe de una manera ágil, por lo general el contador del rescate asciende a medida que pasa el tiempo, de manera que la operación resulta más costosa cuanto más se dilate en el tiempo el proceso de pago. Sin embargo, el pago del rescate nunca garantiza que los atacantes vayan a proporcionar la clave de descifrado, a no utilizar en la práctica los datos obtenidos o a cesar de efectuar denegaciones de servicio sobre las máquinas afectadas.

Otra de las tácticas que más se han popularizado los últimos años ha sido lo que se conoce como Ransomware as a Service (RaaS), otra forma de monetización derivada de la evolución y popularización del ransomware con la que los actores que los desarrollan alquilan a terceros malintencionados una determinada familia o variante de ransomware a cambio de un pago determinado, de manera que mientras el actor desarrollador obtiene una cierta cantidad económica por el desarrollo y mantenimiento de la carga útil, el actor que ha alquilado el servicio puede lanzar un determinado ciberataque sin precisar de conocimientos y habilidades técnicas elevadas.

Por lo general, los actores que efectúan actividades relacionadas con el Ransomware as a Service emplean cuatro metodologías específicas de monetización: existen actores que abogan por una suscripción mensual a sus servicios de ransomware en forma de tarifa plana, mientras que otros prefieren desarrollar programas de afiliados con los que el actor desarrollador obtiene ganancias por la suscripción mensual al servicio y además una comisión que suele rondar entre el 20% y el 30% de las ganancias que hubiese percibido el actor que lance el ciberataque con los rescates abonados por las organizaciones afectadas. Adicionalmente, también existen modelos de negocio en los que el actor desarrollador oferta un servicio de licencia de uso único sin que éste sea partícipe de los beneficios percibidos y otros en los que el actor que ofrece el servicio exige como contraprestación una participación pura en las ganancias obtenidas, sin que sea preciso el pago de una tarifa previa.

Llegados a este punto, conviene conocer cuáles son los actores de ransomware que más han incidido a nivel internacional últimamente. Desde hace años, han existido multitud de actores de ransomware tales como Avaddon, Conti, Dark Side, DoppelPaymer, Egregor, LockBit, Maze, Mount Locker, Nemty, NetWalker, Pysa, Ragnar Locker, Sekhmet, REvil, SunCrypt, Snatch o Ryuk, entre otros. Como se puede observar, la variedad y número de actores relacionados con el ransomware son elevados, si bien algunos de los anteriormente mencionados, como Maze, se encuentran inactivos en la actualidad. No obstante, otros se encuentran más vivos que nunca, y es por ello por lo que el ransomware se ha constituido como una de las principales ciberamenazas que enfrentan los organismos actualmente alrededor de todo el globo.

Este sería el caso, por ejemplo, del ransomware LockBit, que durante el pasado mes de agosto llegaría a afectar a la consultora multinacional Accenture y desde entonces habría afectado a alrededor de 100 compañías más, según se puede observar en su blog en Deep Web.

Ilustración 1 Blog en Deep Web del ransomware LockBit

Ilustración 2 Blog en Deep Web del ransomware LockBit

Como se puede observar en las imágenes anteriores, es una práctica habitual entre los actores de ransomware que publiciten los ciberataques que hubiesen efectuado añadiendo a su página web, por lo general accesibles desde redes como Tor, pero, en ocasiones, también desde Clearnet, un apartado dedicado a la organización que hubiesen comprometido y en el cual, a veces, se incluye una cuenta atrás. Este es al menos el caso de LockBit, de modo que cuando la cuenta atrás llega a cero, si la organización afectada no ha abonado el rescate, el recuadro de la organización pasa de rojo a color verde y automáticamente filtran los datos que hubiesen obtenido de la corporación. De esta forma, cualquiera que conozca el enlace al sitio web de este ransomware podría descargarlos.

El ransomware LockBit constituye, además, una de las familias que más recientemente se ha unido a la corriente del Ransomware as a Service, especialmente dirigido a actores de habla rusa y publicitado en foros de la misma índole. De hecho, resulta interesante destacar que las familias cuyos desarrolladores abogan en mayor medida por este modelo de negocio parecen estar siendo más predominantes y relevantes en el panorama actual de ransomware que aquellas que no lo emplean.

Dentro del ámbito nacional han sido dos las familias de ransomware que más incidencia han tenido los últimos años en España. Por un lado, este sería el caso del ransomware REvil, también conocido como Sodinokibi, que en el año 2020 tendría afectación sobre organizaciones españolas como Adif, encargada de la infraestructura ferroviaria del país. Más recientemente, incluso, este actor de amenazas llegaría a afectar a la empresa Kaseya VSA, una entidad distribuidora de un software de gestión utilizado por una gran cantidad de organizaciones en todo el mundo, circunstancia que provocó que más de mil empresas a lo largo y ancho de todo el planeta resultasen afectadas. De hecho, la magnitud de los ciberataques ejecutados por este grupo propició que a finales del pasado mes de octubre se efectuase una operación internacional por parte de distintos organismos y agencias de seguridad en la que también participó el FBI y que concluyó con la desconexión de la infraestructura de la red informática de este ransomware, gracias a la adquisición del control de algunos de los servidores de los operadores de esta amenaza. No obstante, por el momento se desconoce si esta operación ha supuesto el desmantelamiento completo de este actor de amenazas, en caso de que los atacantes también hubiesen sido detenidos, o si, por el contrario, la operación solamente ha propiciado la caída de los sitios web asociados a este ransomware, en cuyo caso sería esperable que en relativamente poco tiempo se volviese a tener noticias del grupo. En relación con esta familia de ransomware, cabe señalar, además, que se ha consolidado en los últimos tiempos como la elección predilecta de Ransomware as a Service por multitud de terceros malintencionados. El actor de amenazas Pinchy Spider ha sido reconocido como el grupo que ofrece como modelo de negocios un programa de afiliados en torno a la utilización del ransomware REvil, por el cual el actor desarrollador obtiene en torno al 40% de los beneficios obtenidos por cada ciberataque, circunstancia que también les permite seguir mejorando y diseñando tácticas que hagan más efectiva la amenaza.

Por otra parte, la familia de ransomware Ryuk también habría constituido una amplia amenaza para distintos organismos públicos y organizaciones privadas en España los últimos años. Tanto es así que este mismo año consiguió afectar al Servicio Público de Empleo Estatal y al Ministerio de Trabajo, poniendo en jaque a dos organismos públicos al servicio de la ciudadanía que no pudieron efectuar sus actividades con normalidad durante un periodo de tiempo elevado. Esta familia sería la misma que apenas dos años antes dejaría fuera de juego a la consultora Everis y a la Cadena Ser. Como se puede observar, Ryuk constituye otro ejemplo que indica que las amenazas de ransomware están más vivas que nunca, por lo que es necesario hacerles frente.

En adición a lo anterior, un ejemplo inequívoco que evidencia que el ransomware se encuentra en su apogeo lo constituye la familia Hive. Aun con la cantidad de variantes y familias de ransomware que existen en la actualidad, continúan generándose nuevos grupos y actores que fomentan el desarrollo y surgimiento de nuevas amenazas de esta índole, lo que denota el éxito que proporcionan a sus atacantes y, además, lo lejos que se encuentra la sociedad internacional de resolver este problema. En este sentido, el ransomware Hive, que fue descubierto hace pocos meses, se ha constituido como una amenaza prolífica a la que cada vez más organizaciones deben enfrentarse. Es, así mismo, otro ejemplo claro de la popularización del Ransomware as a Service, dado que también se oferta como parte de un programa de afiliados del que multitud de actores pueden ser partícipes. De hecho, esta amenaza en crecimiento ha llegado a afectar hace pocos días a la multinacional alemana MediaMarkt, de manera que los servidores de la compañía han sido comprometidos, lo que ha impedido que no pueda ejercer su actividad y funcionamiento con normalidad ante el previsible aumento de ventas con motivo del Black Friday. Este ciberataque ha afectado a sus establecimientos en Europa, con particular virulencia sobre aquellos ubicados en Holanda, Bélgica, Alemania y España. Se calcula que Hive podría haber afectado a alrededor de 3000 sistemas Windows utilizados en el seno de la organización, habiéndose paralizado las gestiones realizadas mediante su página web, tales como servicios de devolución y recogida de artículos, como forma de contención de la amenaza. Este ciberataque pone de manifiesto no solo la efectividad con la que actúan los actores de ransomware y la vulnerabilidad y exposición de las organizaciones afectadas, sino también la capacidad de estos grupos para prever épocas en las que el impacto de la acción pueda ser más notorio, siempre con la intencionalidad de que el pago del rescate sea menos perjudicial para la entidad que la restauración de los sistemas y servidores mediante cauces legítimos y oficiales.

Ahora bien, con el panorama actual de ransomware se presentan varias dudas a las que conviene prestar atención. ¿Quién o quiénes permiten que esta clase de actividades tengan lugar? ¿Con qué motivos? Distintos análisis forenses e investigaciones de seguridad han permitido establecer ciertas vinculaciones entre el ransomware y Rusia, de modo que parece que la práctica totalidad de los ciberataques de ransomware provienen de la mencionada nación. Esta circunstancia responde a una razón, a la excesiva permisividad y la enorme laxitud con la que se persiguen las actividades ilícitas de esta índole en el país. La pregunta lógica subsiguiente consistiría en cuestionarse por qué Rusia permite que organizaciones de todo el mundo se encuentren desamparadas ante esta ciberamenaza en auge. Es posible que nadie tenga la respuesta a esa pregunta, al mismo tiempo que resulta viable que todos puedan intuirla. Desde una perspectiva geopolítica, podría favorecer a Rusia (al igual que a cualquier otro estado o nación) que se realicen acciones de desestabilización contra entidades y organismos de otros países, aumentando su capacidad de influencia en detrimento de la del resto. Empero, las consecuencias que esta situación pudiese propiciar están aún por determinar, si bien desde el ámbito internacional se ha comenzado a advertir a Rusia para que cambie esta actitud de laxitud hacia el ransomware y comience a actuar contra este tipo de delitos. Tanto es así que el propio presidente estadounidense Joe Biden exigió el pasado mes de julio a su homólogo ruso que cambiase el devenir de los acontecimientos. De hecho, fue esta circunstancia la que, al menos aparentemente, propició que los actores que operan el ransomware REvil redujesen su actividad de forma drástica tras el ciberataque a Kaseya VSA. No obstante, la ansiada cooperación se encuentra lejos de ser formalizada, teniendo en cuenta que durante el pasado mes de octubre el Consejo de Seguridad Nacional de Estados Unidos convocó a la Unión Europea y a otros treinta países entre los que no se encontraba Rusia para debatir posibles soluciones en torno a esta problemática.

Es por ello por lo que resulta plausible considerar que las amenazas relacionadas con el ransomware no harán sino aumentar su intensidad e incidencia en el futuro, a no ser que finalmente se abogue por actuar contra esta clase de actores de manera coordinada a nivel internacional con la participación, por supuesto, de la nación de la que se originan la mayor parte de estos ciberataques.

Como se puede observar, al haberse proclamado como una de las dimensiones más prevalentes en el mundo actual, el ciberespacio es, en multitud de ocasiones, el escenario predilecto por distintas organizaciones internacionales o incluso entidades e instituciones gubernamentales para incrementar su capacidad de influencia o propiciar el declive de la de otras, lo que evidencia la fuerte conexión que existe entre la ciberseguridad, el ciberespacio y la geopolítica actualmente. Por tanto, es posible especular acerca de la posibilidad de que en el futuro continúen existiendo tensiones entre ciertas comunidades o estados que, en definitiva, se traducirán en el incremento de ciberataques propios de una zona gris de conflicto, propiciados por terceros aparentemente no relacionados pero que actúan a modo de testaferros, con la intención de que las acciones efectuadas no puedan ser atribuidas a ningún estado en concreto. Todo ello con la finalidad última de que la nación involucrada en la sombra pueda evitar posibles sanciones, persecuciones y acciones de respuesta, al tiempo que el tercero que ejecuta la acción obtiene algún tipo de beneficio de su interés, generalmente o, al menos en este caso, de índole económica.

Raquel Puebla González 

Analista de Ciberinteligencia

Entelgy Innotec Security

• Raquel Puebla González
• Raquel Puebla González

Bibliografía

• https://www.incibe.es/protege-tu-empresa/blog/las-7-fases-ciberataque-las-conoces
• https://securityaffairs.co/wordpress/123422/data-breach/accenture-data-breach-lockbit-ransomware.html
• https://www.xataka.com/seguridad/ataque-ransomware-a-adif-grupo-ciberdelincuentes-anuncia-robo-800-gb-amenaza-difundir-contratos-facturas
• https://unaaldia.hispasec.com/2021/10/una-operacion-internacional-deja-fuera-de-juego-al-ransomware-revil.html
• https://www.elconfidencial.com/tecnologia/2021-06-09/ministerio-trabajo-ransomware-ryuk-sepe_3123219/
• https://cnnespanol.cnn.com/2021/07/09/biden-putin-ciberataques-ransomware-trax/
• https://elpais.com/internacional/2021-10-13/biden-convoca-a-30-paises-a-una-reunion-para-combatir-el-ransomware-en-la-que-no-esta-rusia.html
• https://www.infobae.com/america/mundo/2021/07/13/las-tres-teorias-detras-de-la-misteriosa-desaparicion-del-grupo-de-hackers-ruso-revil-tras-los-ciberataques-contra-eeuu/
• https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/
• https://discoverthenew.ituser.es/security-and-risk-management/2021/09/el-fbi-advierte-a-las-empresas-sobre-el-nuevo-ransomware-hive
• https://www.muycomputer.com/2021/11/09/mediamarkt-ataque-de-ransomware/
• https://www.elperiodico.com/es/sociedad/20211109/mediamarkt-ciberataque-europa-12800757