Los ataques de ransomware consisten en un ecosistema de actores. Hay publicidad y provisión de servicios y asociaciones en mercados y foros especializados en la web oscura. El operador de ransomware recibe entre el 20 y el 40 por ciento de participación en las ganancias, el resto se queda con el socio. . El acceso comercial comienza en $ 50.
Los ataques de ransomware que cifran datos y exigen rescate están afectando a empresas de todos los tamaños e industrias. Fácilmente puede dar la impresión de que los actores actúan arbitrariamente. De hecho, sin embargo, hay un ecosistema complejo detrás de esto con muchos actores diferentes, cada uno de los cuales asume roles individuales. Con motivo del Día Anti-Ransomware, Kaspersky proporciona información sobre el complejo ecosistema detrás del ransomware en un nuevo informe [1].
El ecosistema de ransomware está buscando socios
Un ejemplo de una oferta: aquí se ofrece el acceso de escritorio remoto de un usuario a una empresa (Imagen: Kaspersky).
Desarrolladores, maestros de bots, proveedores de credenciales u operadores de ransomware: el ecosistema de ransomware consta de una variedad de jugadores. Todos ofrecen diferentes servicios a través de anuncios en Darknet [2]. Los grupos profesionales independientes y destacados no suelen visitar estos sitios, pero REvil, por ejemplo, que se ha centrado cada vez más en organizaciones en los últimos trimestres, ahora publica regularmente sus ofertas y noticias a través de programas de afiliados. Esto crea una sociedad entre el operador del ransomware y el cliente, donde el operador del ransomware recibe una participación en las ganancias de entre el 20 y el 40 por ciento como vendedor, mientras que el restante 60 a 80 por ciento permanece con el "socio afiliado". La selección de socios sigue un proceso elaborado con reglas establecidas por los operadores de ransomware, incluidas restricciones geográficas o alineaciones políticas, mientras que las víctimas de ransomware se seleccionan de una manera que maximiza la utilidad.
Búsqueda común de ganancias
Los vendedores y los clientes o socios comparten una búsqueda común de ganancias, razón por la cual las organizaciones más infectadas suelen ser objetivos más simples a los que era particularmente fácil acceder. Dichos accesos se subastan en plataformas de subastas o se ofrecen en foros de Darknet a precios fijos que comienzan en 50 dólares estadounidenses. Los atacantes son en su mayoría propietarios de botnets que participan en campañas masivas y de gran alcance y venden acceso a los dispositivos de sus víctimas al por mayor. Los proveedores de credenciales, por otro lado, siempre están atentos a las vulnerabilidades publicitadas en el software conectado a Internet, como las aplicaciones VPN o las puertas de enlace de correo electrónico, que pueden usar para infiltrarse en las organizaciones.
Los operadores de ransomware suelen vender muestras de malware y creadores de ransomware por entre 300 y 4.000 dólares. Otro modelo de negocio es el ransomware como servicio, donde el ransomware se ofrece con soporte continuo de sus desarrolladores por $120 al mes o $1.900 al año.
Discutir los riesgos juntos y tomar contramedidas
En la web oscura, el ransomware se ofrece como suscripción en varios paquetes con un plazo de 1, 6 y 12 meses con información de productos y precios (Imagen: Kaspersky).
"Durante los últimos dos años, hemos visto cómo los ciberdelincuentes se vuelven más audaces al tratar con ransomware", dijo Craig Jones, Director de Ciberdelincuencia de INTERPOL. “Tales ataques ya no se limitan a las grandes corporaciones y organizaciones gubernamentales. Los operadores de ransomware están preparados para atacar prácticamente a cualquier organización, independientemente de su tamaño. La industria del ransomware es compleja e involucra a muchos jugadores diferentes con diferentes roles. Para poder hacer algo al respecto, necesitamos aprender cómo funciona y combatirlo como uno solo. El Día Anti-Ransomware es una buena oportunidad para crear conciencia y recordar al público la importancia de utilizar prácticas de seguridad efectivas. El Programa Global de Ciberdelincuencia de INTERPOL y nuestros socios están totalmente comprometidos a reducir el impacto global del ransomware y proteger a la sociedad del daño causado por esta creciente amenaza".
Diverso ecosistema de ransomware
"El ecosistema de ransomware es multifacético y hay muchos intereses en juego", agrega Dmitry Galov, investigador de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “Es un mercado en constante cambio con muchos jugadores, algunos bastante oportunistas, otros muy profesionales e inteligentes. No seleccionan objetivos específicos, pero pueden atacar a cualquier organización, independientemente de su tamaño, si obtienen acceso a un sistema. Su negocio está prosperando y no desaparecerá pronto. Afortunadamente, las medidas de seguridad bastante simples pueden detener a los atacantes. Los procedimientos estándar, como las actualizaciones periódicas de software y las copias de seguridad, ya ayudan”.
"Solo se pueden tomar contramedidas efectivas contra el ecosistema de ransomware una vez que se comprendan realmente sus fundamentos", agregó Ivan Kwiatkowski, investigador principal de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. "A través de nuestro informe, esperamos ayudar a comprender exactamente cómo se organizan los ataques de ransomware para que la comunidad de seguridad de TI pueda tomar las contramedidas adecuadas".
Más SecureList en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/