Ransomware
Juan Antonio Pascual Estapé
El ransomware se ha convertido en el malware de moda en los últimos años, porque una vez encriptados los datos, ya no hay antivirus que valga.
El ransomware es un tipo de virus que encripta todo el contenido de las unidades de almacenamiento, y solo se puede recuperar si conoces la clave de encriptación.
Los ciberdelincuentes piden un rescate por ella, y así ganan docenas de millones de dólares con cada ataque.
La empresa de seguridad KELA se ha infiltrado en los foros de las bandas de ransomware y nos explica, vía Bleeping Computer, cómo trabajan, y cómo eligen a sus víctimas.
Un primer dato que puede sorprender a muchas personas, es que normalmente las bandas de ransomware no hackean directamente a sus víctimas, sino que compran el acceso a otros agentes llamados Brokers de Acceso Inicial (IAB), que son los que hackean las empresas y venden este acceso a las bandas de ransomware.
Estas bandas ponen anuncios en foros de la Dark Web pidiendo cierto tipo de compañías que quieren secuestrar, y lo que están dispuestos a pagar por el acceso.
En esta imagen capturada por KELA podemos ver un post en uno de estos foros, en donde la banda BlackMatter ha publicado un anuncio de Se busca:
Ransomware
Como vemos, buscan una empresa de Estados Unidos, Reino Unido, Canadá o Australia, que no trabaje en medicina o para el estado, con unos ingresos de 100 millones de dólares, y están dispuestos a pagar por el acceso hackeado entre 3.000 y 100.000 dólares.
KELA ha estudiado más de una veintena de estos anuncios de bandas de ransomware, y ha obtenido unas estadísticas interesantes.
La mayoría de las bandas buscan empresas de Estados Unidos, Canadá, Reino Unido y Europa, en este orden, porque son las más ricas, y las que más rescate pueden pagar. En cambio rechazan empresas de países de la ex Unión Soviética como Rusia, Armenia, Ukrania, Moldovia, etc. En unos casos, porque las bandas son de allí. En otros, porque esos países tienen buenos hackers y servicios secretos, que podrían rastrear y perseguir a los atacantes.
También buscas empresas ricas con dinero que tengan unos ingresos de al menos 5 millones de dólares en Estados Unidos, 20 millones en Europa, y más de 40 millones en países del Tercer Mundo.
Además, el 47% no quieren empresas que trabajen en medicina, por razones éticas. Tampoco del sector de la educación, porque no ganan mucho dinero. El 37% evita empresas estatales, porque aquí la persecución de la policía es mayor, y el 26% tampoco acepta atacar ONGs.
Pero que una empresa no cumpla estos requisitos, no quiere decir que esté a salvo. Hay muchos ejemplos de ataques a pequeñas empresas, todo depende de si necesitan dinero rápido y fácil, o no.
Aún no existen métodos eficientes para romper los secuestros del ransomware, cuando los datos ya están encriptados. Así que tendremos que vivir mucho tiempo con este tipo de delincuencia.