Este miércoles 12 de mayo se celebra el Día contra el ransomware, una fecha convocada por una compañía de ciberseguridad e INTERPOL para crear conciencia sobre los efectos de los ciberataques que exigen el pago de rescates a personas y empresas, que coincide con el aniversario del ciberataque WannaCry.

Los grupos responsables del ransomware suelen ocultar la complejidad real del ecosistema de estos ataques, pero para ayudar a las organizaciones a entender cómo funciona éste y cómo combatirlo, Kaspersky ha analizado los foros de la 'darknet' e investigado a los grupos REvil y Babuk -unos de los más activos-, desmontando algunos de los mitos sobre el ransomware.

Como cualquier industria, el ecosistema del 'ransomware' se compone de muchos actores que asumen diversas funciones, frente a la creencia de que los grupos de ransomware son en realidad bandas cerradas. Entre los principales actores implicados en la mayoría de los ataques, Kaspersky cita a los desarrolladores, botmasters, vendedores de acceso y operadores de ransomware.

Estos actores se reúnen en foros especializados de la darknet, o la Internet Oscura, en los que se pueden encontrar anuncios actualizados regularmente ofreciendo servicios y acuerdos de colaboración. Los grandes actores que operan por su cuenta no frecuentan este tipo de sitios, sin embargo, grupos conocidos como REvil publican sus ofertas y novedades de forma regular utilizando programas de afiliados.

Este tipo de participación supone una asociación entre el operador del grupo de ransomware y el afiliado. En ella el operador del ataque se lleva una parte de los beneficios -entre el 20 y el 40% mientras que el 60 o 80% restante es para el afiliado.

La selección de estos socios es un proceso muy cuidado que atiende a reglas básicas establecidas por los operadores de ransomware desde el principio, incluyendo restricciones geográficas e incluso opiniones políticas. Al mismo tiempo, las víctimas se seleccionan según la oportunidad. Las más infectadas suelen ser aquellas a las que resulta más fácil atacar. Puede tratarse tanto de actores que trabajan dentro de los programas de afiliación como de operadores independientes que luego venden el acceso, en forma de subasta o mediante un acuerdo, a partir de apenas 50 dólares.

Las redes públicas, objetivo de estos ataques

La mayoría de las veces estos atacantes son propietarios de botnets que trabajan en campañas masivas y de gran alcance y venden el acceso a las máquinas de las víctimas al por mayor, o vendedores de acceso a la búsqueda de vulnerabilidades públicamente divulgadas en el software de Internet, como los dispositivos VPN o las pasarelas de correo electrónico, que pueden utilizar para infiltrarse en las organizaciones.

En los foros de ransomware también hay otros tipos de ofertas. Algunos operadores venden muestras de 'malware' y creadores de ransomware por precios que oscilan entre 300 y 4.000 dólares, mientras que otros ofrecen Ransomware-as-a-Service, es decir, la venta de ransomware con el apoyo continuado de sus desarrolladores, en paquetes cuyo precio oscila entre 120 dólares al mes y 1.900 dólares al año.

"Las organizaciones a las que se dirigen estos ataques no se limitan ya a las grandes corporaciones y organismos gubernamentales: los operadores de ransomware están preparados para atacar a cualquier empresa, independientemente de su tamaño", ha comentado Craig Jones, director de Ciberdelincuencia de INTERPOL.

"Para luchar contra los autores del ransomware, debemos informarnos sobre su funcionamiento y combatirlos como un todo. El Día contra el ransomware es una buena oportunidad para poner de relieve esta necesidad y recordar al público lo importante que es adoptar prácticas de seguridad eficaces", ha apostillado Jones.