Una empresa de seguridad, a partir de las solicitudes de compra en la Darknet, ha identificado los parámetros utilizados por las ciberbandas de ransomware a la hora de seleccionar a las empresas a las que quieren pedir un rescate por sus datos, cifrados previamente de forma maliciosa.
En total, la empresa de inteligencia para la seguridad Kela analizó 48 entradas de foros de julio de 2021. Los anuncios de búsqueda fueron publicados por varios actores de ransomware y los destinatarios eran los denominados «agentes de acceso inicial» (IAB). Se trata de hackers que han optado por introducirse, en primer lugar, en las redes corporativas, mediante métodos como los ataques de fuerza bruta a las contraseñas, los exploits o el phishing. Acto seguido venden los datos de acceso a otros ciberdelincuentes, que los utilizan para introducir en las empresas su código malicioso.
El 40% de los «anuncios de búsqueda» de los foros de la Darknet analizados por Kela procedían del entorno de conocidas bandas de ransomware. En un caso, la banda de extorsión conocida como «BlackMatter» buscaba objetivos específicos de EE. UU., Canadá, Australia y Gran Bretaña que tuvieran una facturación anual de al menos 100 millones de dólares y de 500 a 15.000 hosts. Por los datos de acceso estaban dispuestos a pagar de 3.000 a 100.000 dólares.
Las ciberbandas de ransomware también actúan en Europa
A partir de una veintena de solicitudes analizadas, Kela ha identificado los distintos criterios que utilizan los extorsionadores de ransomware para elegir a sus víctimas. Entre ellas:
- Situación geográfica: las bandas de ransomware prefieren víctimas localizadas en EE. UU, Canadá, Australia y Europa. En la mayoría de las solicitudes se nombraba expresamente la región deseada. Los países más solicitados fueron EE. UU. (47%), seguido de Canadá y Australia (con un 37% cada uno) y los países europeos (31%). En la mayoría de los casos, había varios países en la lista. Como motivo que justifica este enfoque geográfico, Kela señala en su análisis que las víctimas más solventes se encuentran principalmente en los países de mayor tamaño y desarrollo.
- Facturación: por término medio, los extorsionadores buscan empresas con una facturación anual mínima de 100 millones de dólares. Sin embargo, en algunos casos, se realizaron distinciones según el país de destino. Por ejemplo, en un caso concreto se buscaron empresas estadounidenses con una facturación anual de al menos 5 millones de dólares, mientras que en el caso de supuestas víctimas europeas llegaba hasta 20 millones como mínimo, o empresas del «tercer mundo» con un mínimo de 40 millones de dólares.
- Listas de bloqueo por sectores: incluso antes de que se produjeran los ataques a Colonial Pipeline y la empresa cárnica JBS, la mayoría de los ciberdelincuentes dedicados al ransomware no operaban en el ámbito sanitario. Desde entonces, han tratado de mantenerse al margen también de otros sectores. En los anuncios analizados por Kela, el 47% rechazaba específicamente la sanidad y la educación (47% cada sector), el 37% dejaba fuera deliberadamente al sector público y el 26% lo hacía con organizaciones sin ánimo de lucro. En el caso de la sanidad y las organizaciones sin ánimo de lucro, Kela sostiene que la preocupación moral es la principal razón para no atacar, mientras que, en el caso de la educación, sería más bien el conocimiento de que las víctimas no pueden pagar un rescate elevado.
- Listas de bloqueo de países: la mayoría de los delincuentes que se dedican al ransomware se mantienen alejados de muchos países de la Comunidad de Estados Independientes (CEI), probablemente asumiendo que, a cambio, las autoridades puedan permitir sus operaciones en estos territorios. Junto a Rusia, se incluyen países como Ucrania, Moldavia, Bielorrusia, Kirguistán, Kazajistán, Armenia, Tayikistán, Turkmenistán y Uzbekistán.
Por desgracia, aquellos que no encajen en el patrón de las víctimas, tampoco pueden sentirse totalmente seguros. Según Kela, toda una serie de bandas de ransomware (como Dharma, STOP y Globe) son bastante menos exigentes. Por este motivo, como empresa, no podemos creer en una seguridad engañosa, sino que debemos protegernos lo más eficazmente posible contra todo tipo de amenazas cibernéticas.
Por lo que respecta al ransomware, esto incluye necesariamente protección antiphishing para los buzones de correo electrónico como, por ejemplo, la integrada en la solución modular Secure Email Platform de Retarus, también como complemento al software de oficina en la nube, como por ejemplo Microsoft 365 o Google Workspace. Puede sensibilizar a sus usuarios de este delicado asunto mediante nuestra Guía Anti-Phishing gratuita disponible en 5 idiomas. Para obtener más información, visite nuestro sitio web o consulte directamente a su interlocutor local de Retarus.