La pandemia de la Covid-19 ha desencadenado un notable incremento de los ciberataques de ransomware y también ha aumentado su nivel de sofisticación, apuntando a personas, organizaciones e infraestructuras cada vez más críticas. Así lo pone de manifiesto un informe de Fortiguard, publicado estos últimos días y que señala que la actividad media semanal de ransomware se ha multiplicado por diez en el último año.
Ahora, una nueva investigación llevada a cabo por la compañía de ciberseguridad KELA ha revelado cuál es el perfil ideal de una víctima de ransomware según los propios cibercriminales.
Los hallazgos de KELA están basados en observaciones a foros de la dark web realizadas durante el pasado mes de julio. En total, sus investigadores descubrieron 48 listados de anuncios publicados por los cibercriminales para comprar diferentes tipos de acceso a sistemas. El 46% de ellos, se crearon solo durante el mes de julio, "lo que refleja un ritmo y una demanda impresionantes en los anuncios de compra de acceso", señala el informe.
Las víctimas que buscan, y las que rechazan
Los operadores de ransomware utilizan el acceso para cometer sus ataques, que consisten en robar información de los sistemas de las víctimas para posteriormente pedirles un rescate por ellos. Cuanto más alto sea este rescate, más exitoso será su ataque, y el informe señala que sus principales objetivos son las empresas más ricas del mundo, situadas en los países más grandes y desarrollados.
Las de Estados Unidos son sus preferidas (47%) y quieren que tengan una facturación anual superior a los 100 millones de dólares. Otras empresas "atractivas" para ellos son las de Canadá (37%), Australia (37%) y las situadas en países europeos (31%) mientras que, por el contrario, no muestran interés en Rusia, América del Sur y en los países del tercer mundo.
Los operadores de ransomware están dispuestos a pagar hasta 100.000 dólares por un acceso, pero casi la mitad de ellos (el 47%) se negó a comprar uno que perteneciera a empresas de las industrias de la salud y la educación. En su lista negra de sectores, también se encuentran las entidades gubernamentales (37%) y las organizaciones sin ánimo de lucro (26%).
"Cuando los actores rechazan las ofertas de las industrias de salud o sin ánimo de lucro, es probable que se deba a su código moral. Cuando el sector de la educación está fuera de la mesa, la razón es la misma o simplemente el hecho de que las víctimas de la educación no pueden pagar mucho. Finalmente, cuando los actores se niegan a apuntar a las empresas gubernamentales, es una medida de precaución y un intento de evitar la atención no deseada por parte de las fuerzas del orden", explica el estudio.
Sus formas de acceso preferidas
Por otra parte, la investigación de KELA muestra que las preferencias de los ciberdelincuentes van más allá de la ubicación y los sectores de las víctimas, y también se refieren a la forma de acceder y comprometer sus sistemas. Los más populares son el acceso basado en el protocolo de escritorio remoto (RPD) y en la red privada virtual (VPN). Concretamente, acceso a productos desarrollados por empresas como Citrix, Palo Alto Networks, VMWare, Cisco y Fortinet.
"En cuanto al nivel de privilegios, algunos atacantes afirmaron que prefieren los derechos de administrador de dominio, aunque no parece ser crucial", afirma el estudio.
KELA también encontró ofertas para paneles de comercio electrónico, bases de datos no seguras y servidores Microsoft Exchange, aunque pueden llamar más la atención de ladrones de datos o de ciberdelincuentes que intentan implantar software espía y mineros de criptomonedas.
"Todos estos tipos de acceso son indudablemente peligrosos y pueden permitir a los actores de amenazas realizar varias acciones maliciosas, pero rara vez brindan acceso a una red corporativa", subrayan los investigadores.
El Ransomware-as-a-Service (RaaS), una amenaza creciente
Por último, el informe advierte que el ecosistema del Ramsomware-as-a-Service (Raas) está creciendo y se está diversificando. El 40% de los anuncios de la dark web analizados por KELA fueron creados por actores relacionados con la cadena de suministro del RaaS: operadores, afiliados o intermediarios.
"Los anuncios sobre la compra de accesos les ayudan a encontrarse y cooperar más (…). En lugar de un simple 'compraré el acceso', los actores de amenazas ahora enumeran escrupulosamente las características y los tipos de acceso de las víctimas potenciales, sabiendo exactamente lo que quieren, es decir, facilitando el ataque y recibir eventualmente un rescate", indica el informe, y apunta:
"Las operaciones de RaaS actúan como empresas corporativas. Forman 'estándares de la industria' con una lista negra de sectores y países, definen los ingresos y la geografía de sus 'clientes' y ofrecen un precio competitivo para los actores de amenazas que les suministran los 'bienes' deseados. Enfrentar este ciberdelito organizado requiere más esfuerzo y visibilidad de las fuentes donde los actores relacionados con el ransomware buscan servicios de subcontratación y reclutan socios y empleados".