¿Quién se beneficia económicamente del ransomware?

Septiembre 30 2021
Kaseya
ransomware

El ransomware es el tipo de ciberataque que más suele aparecer en las noticias, ya que acarrea consecuencias dramáticas y devastadoras. Sufrir un ciberataque como el ransomware basta para asestar un golpe fatal a la mayoría de las empresas: el 60 % de las empresas afectadas por un ciberataque cierran en un plazo de seis meses. Proteger a las empresas contra el ransomware es vital para mantenerlas a flote. Un incidente de ransomware puede arruinar el presupuesto de una empresa, pero es una fuente de ingresos para los delincuentes. Cada ataque de ransomware requiere la participación de muchos actores para llevarse a cabo, y todos ellos están ahí por la misma razón: el dinero. Independientemente de si una empresa paga o no el rescate tras ser víctima de un ataque de ransomware, la economía del cibercrimen en la dark web sale reforzada.  

¿Cómo funcionan las operaciones de ransomware? 

Cuando una empresa paga un rescate, ese dinero recorre todos los rincones de la dark web. Los rescates no van a parar solo a una persona u organización: incluso un participante secundario en un ataque de ransomware se beneficiará de ello. La industria del ransomware es un ecosistema en sí misma y uno de los principales contribuyentes a la economía de la dark web. También forma parte del sector del «cibercrimen como servicio». Esa es una de las principales razones por las que los ciberdelincuentes de todo tipo no dudan en sumarse a una operación de ransomware. Esos delincuentes tienen muchas posibilidades de llevarse una suma considerable de dinero, y todos reciben su parte. 

Las grandes y poderosas bandas de ransomware rara vez llevan a cabo campañas por sí mismas. En su lugar, operan plataformas de ciberdelincuencia como servicio que los ciberdelincuentes pueden utilizar para llevar a cabo operaciones, atraer talentos, establecer contactos con autónomos y recibir pagos. El jefe de la banda obtiene su dinero de su parte de los beneficios cuando se produce un ataque de ransomware con éxito bajo sus auspicios. Esos ataques los llevan a cabo contratistas independientes aliados conocidos como afiliados. Los afiliados son los que realizan el trabajo diario de montar un ataque de ransomware con éxito.  

El afiliado es responsable de ejecutar todo lo relacionado con un ataque de ransomware contra el objetivo elegido, desde la planificación hasta la ejecución y el pago. El afiliado puede ser una banda más pequeña o simplemente un grupo de autónomos que se reúnen para un mismo trabajo. Es habitual que los afiliados contraten a especialistas y autónomos para las operaciones, como expertos creadores de spear phishing o hackers cualificados. A veces, la banda de jefes suministra el malware, o el afiliado puede preferir utilizar el suyo propio. Sea cual sea la forma en que el afiliado realice el trabajo, si su ataque tiene éxito, está obligado a enviar una parte de la cadena al jefe -la banda que dirige la plataforma-, generalmente entre el 10 y el 20% de la recaudación, así como a pagar a los subcontratistas que haya contratado. El resto del dinero es suyo. 

Ahora contratando: Una organización contra el ransomware 

Todo el mundo busca personal cualificado, ya que contar con los empleados adecuados es fundamental para el éxito de una empresa, incluso para las bandas de ciberdelincuentes. Después de que dos conocidos foros rusos prohibieran la actividad de los operadores de ransomware, dos grandes bandas de ransomware, identificadas como Himalaya y LockBit, comenzarona utilizar sus propios sitios webpara promocionar sus herramientas de cifrado y reclutar nuevos afiliados. LockBit acababa de lanzar una nueva versión de su característico ransomware e intentó aprovechar el mejorado rendimiento del software como reclamo para atraer talento. Himalaya fue directamente a por el dinero,promocionandoen su sitio weblos generosos pagosque ofrecen a sus asociados, al igual que cualquier otra empresa que busca personal. 

Pero no todas las bandas contratan a gente de la calle. Varios de los mayores operadores de ransomware no reclutan públicamente en absoluto. En su lugar, tienes que conocer a alguien en la organización para conseguir un pie en la puerta, al igual que una operación criminal tradicional. Una organización como REvil no va a publicar ofertas de empleo. Los expertos señalan que la banda REvil prefiere operar con discreción y confiar en su red de afiliados y conexiones para conseguir sangre fresca cuando sea necesario. Otros actores de la ciberdelincuencia también prefieren permanecer en silencio y trabajar en la sombra, y los grupos que también llevan a cabo operaciones como el compromiso del correo electrónico empresarial como parte de su operación de ransomware quieren especialmente permanecer invisibles. A raíz de la caza internacional de los hackers implicados en el ataque DarkSide a Colonial Pipeline, muchas bandas, hackers y corredores de datos pasaron aún más a la clandestinidad. Los grupos de estados-nación tampoco contratan nunca a nadie, sino que confían en una red de confianza de actores de amenazas aliados para hacer su trabajo.  

Flujos de dinero en la Dark Web 

La demanda de todo tipo de trabajos especializados en ciberdelincuencia es elevada: los expertos estiman que el 90 % de las publicaciones en los foros más populares de la dark web proceden de compradores que buscan contratar a alguien para prestar servicios de piratería informática. Se calcula que el 69 % de esas publicaciones de contratación en foros de la dark web buscaban ciberdelincuentes para hackear sitios web, mientras que otro 21 % buscaba personas malintencionadas que pudieran obtener bases de datos de usuarios o clientes de objetivos específicos. No todos los «hackers» son realmente hackers. Algunos cuentan con conocimientos especializados en áreas muy específicas, como la ingeniería social o las operaciones de spear phishing. Los presuntos ciberdelincuentes también pueden lucrarse vendiendo su propia tecnología. Algo más del 2 % de las publicaciones en los foros analizadas por los investigadores fueron realizadas por desarrolladores ciberdelincuentes que vendían herramientas del oficio, como programas para descifrar contraseñas, skimmers de pago, malware, ransomware y otros programas de piratería informática. Los hackers también utilizan esos foros como una forma de conocer a personas interesadas en planificar o participar en ciberataques: alrededor del 1 % de las publicaciones en foros de la dark web analizadas fueron realizadas por hackers que buscaban a otros hackers para formar un equipo.    

Las organizaciones de ciberdelincuentes también están dispuestas a pagar mucho dinero por el acceso. Los foros más populares de la red oscura son la versión cibercriminal de LinkedIn. Aproximadamente el 40% de los anuncios consultados por los investigadores en un estudio realizado en 2020 fueron creados por actores del sector del ransomware como servicio (RaaS). Las bandas ofrecían hasta $100,000 dólares por servicios de acceso inicial y la mayoría de los actores fijaban su precio máximo en poco más de la mitad de esa cantidad, $56,250 dólares. En otros anuncios publicados en un conocido foro, los autores de las amenazas buscaban objetivos específicamente en Estados Unidos, Canadá, Australia y Gran Bretaña con unos ingresos de $100 millones de dólares o más. Por este acceso, estaban dispuestos a pagar entre $3,000 y $100,000 dólares, y eso es suficiente para tentar a los empleados, especialmente en circunstancias económicas difíciles.   

El ataque del ransomware Colonial Pipeline 

La mayoría de los ataques de ransomware son operaciones complejas y oscuras, y los detalles exactos rara vez salen a la luz. Pero el incidente del ransomware Colonial Pipeline ha sido ampliamente investigado y difundido, lo que ha permitido a todo el mundo conocer exactamente cómo se produce un ataque de ransomware que daña infraestructuras. Este incidente ha puesto el ransomware aún más en el punto de mira y ha impulsado a gobiernos de todo el mundo, incluido el de Estados Unidos, a tomar medidas para proteger las infraestructuras del ransomware y castigar a los ciberdelincuentes. El gobierno estadounidense ha abierto recientemente una ventanilla única contra el ransomware para ayudar a las empresas estadounidenses a luchar contra este problema. 

La banda de ransomwareDarkSidese hizo famosa por llevar a cabo un ataque exitoso contra Colonial Pipeline, con el que obtuvo un botín estimado en algo más de 4 millones de dólares. Pero esa operación no fue dirigida directamente por los desarrolladores y operadores de DarkSide. En su lugar, el ataque a Colonial Pipeline fue llevado a cabo por una filial de la operación principal utilizando el malware propio de DarkSide. Esa filial contrató a sus propios subcontratistas a través de foros de la dark web y reunió recursos de mercados de datos y volcados de la dark web para llevar a cabo la acción. 

Entonces, la banda de los satélites tendió su trampa y atacó a Colonial Pipeline con un ataque devastador que paralizó el mayor oleoducto de combustible de Estados Unidos. El punto de entrada de la banda fue una única contraseña de un empleado comprometida que les dio las llaves del reino, probablemente obtenida mediante spear phishing. El afiliado de DarkSide pudo entonces colarse fácilmente dentro de la seguridad, ciertamente laxa, de Colonial Pipeline y entregar su carga venenosa: el ransomware propio de DarkSide, para cifrar los sistemas y datos de Colonial Pipeline. Después vino la parte fácil: el afiliado programó un temporizador para que el malware se activara, formuló su demanda de rescate y se sentó a esperar su dinero.  

Poco más de una semana después de la intrusión inicial, comenzó la infección por ransomware, que dio el pistoletazo de salida a la operación de la filial. Un empleado que comenzaba su jornada laboral en la sala de control central de Colonial Pipeline vio aparecer en su ordenador una nota de rescate exigiendo criptomoneda y llamó a su supervisor. Entonces comenzó la carrera para Colonial Pipeline en su intento de superar la infección para preservar sus sistemas y datos. Después de cerrar el oleoducto para tratar de mitigar los daños y evitar que los piratas informáticos siguieran penetrando, Colonial no tuvo más remedio que recurrir a la ayuda de expertos, ya que la situación superaba con creces su capacidad de gestión interna.  

Los atacantes bloquearon Colonial Pipeline con un efecto devastador. También robaron casi 100 gigabytes de datos. En última instancia, el ataque de la filial de DarkSide fue un éxito rotundo. Colonial Pipeline pagó a los atacantes un rescate de $4.4 millones de dólares en poco tiempo. Según los investigadores de FireEye, los afiliados de DarkSide están obligados a pagar al grupo jefe hasta el 25% de los pagos de rescates inferiores a $500,000 dólares, y el 10% de cualquier cobro exitoso de rescates superior a $5 millones de dólares. 

El ransomware es muy rentable, especialmente la variante de doble cifrado que DarkSide prefería. Antes de que la banda cayera en la oscuridad tras el incidente de Colonial Pipeline, DarkSide había recibido $90 millones de dólares en pagos de rescates en bitcoins en el transcurso de su corta vida, según los analistas de blockchain de Elliptic. Además, estimaron que el pago medio por ransomware en una operación de DarkSide fue de alrededor de $1.9 millones de dólares. Del botín total que obtuvieron las operaciones de DarkSide, estos expertos estiman que $15.5 millones de dólares fueron a parar al desarrollador de DarkSide, mientras que $74.7 millones fueron a parar a sus afiliados. 

Detener el ransomware deteniendo el phishing 

Una de las mejores formas de proteger a una empresa contra el ransomware es protegerla contra el phishing. Se calcula que el 94 % del ransomware llega a las empresas a través del correo electrónico. Estos mensajes suelen emplear sofisticadas técnicas de ingeniería social para incitar a los empleados a descargar un archivo adjunto, visitar un sitio web malicioso o facilitar sus credenciales a los ciberdelincuentes. Para detener el ransomware, lo primero es impedir que los mensajes de phishing lleguen a las bandejas de entrada de los empleados. 

Tu empresa necesita una solución de seguridad del correo electrónico potente y automatizada que te ofrezca una protección avanzada contra mensajes maliciosos que contengan amenazas como el ransomware, sin que ello suponga un coste elevado.Graphus esa necesidad.  

  • Un sofisticado sistema de automatización de la seguridad del correo electrónico establece tres capas de protección entre tu empresa y los mensajes de phishing 
  • Las soluciones de correo electrónico automatizadas comoGraphus un 40 % más de mensajes maliciosos que las soluciones convencionales o un SEG 
  • La IA inteligente nunca necesita informes sobre amenazas, sino que utiliza más de 50 puntos de comparación para detectar el phishing selectivo, el ransomware, los ataques de día cero y otras amenazas complejas. 

No esperes a tener que pagar las facturas de un ataque de ransomware para mejorar la seguridad de tu correo electrónico: el 60 % de las empresas que sufren un ciberataque acaban cerrando. Detén el phishing de inmediato conGraphus la solución de defensa contra el phishing más sencilla, automatizada y asequible del mercado. Ponte en contacto hoy mismo con uno de nuestros especialistas en soluciones y pon en marcha para tu empresa una protección que nunca descansa. 

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Desde el phishing hasta el ransomware: cómo Kaseya 365 User protege tus aplicaciones SaaS

Las aplicaciones SaaS, como Microsoft 365 y Google Workspace, impulsan prácticamente todos los aspectos de las operaciones digitales actuales. Sin embargo, a medida que las empresasSeguir leyendo

Leer la entrada del blog

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio es un modelo de negocio en el que los ciberdelincuentes desarrollan ransomware y lo venden o alquilan a afiliados. Descubre cómo funciona y cómo detenerlo.

Leer la entrada del blog

Evite problemas informáticos este San Valentín con la detección de ransomware

Este San Valentín, los ciberdelincuentes de todo el mundo están dispuestos a romperte el corazón. Su objetivo es piratearSeguir leyendo

Leer la entrada del blog