¿Ransomware en pandemia o pandemia del ransomware?

Nadie se imaginaba qué pasaría en el ámbito de la ciberseguridad durante la pandemia de la Covid-19. Quizás algunos colegas sí fueron visionarios u otros básicamente se guiaron por las estadísticas de los últimos años respecto a los incidentes y brechas de seguridad, que han ido en aumento sostenido. Espero que todos si entiendan que hoy en día nadie esta libre de sufrir un incidente cibernético.

Un poco de historia

Los inicios del ransomware no se remontan a los años 2000 como la mayoría lo cree, sino que, ya en diciembre del año 1989, cuando ni siquiera se había creado la primera página web, 20.000 disquetes de 5¼” se enviaron desde Londres a empresas británicas y de otros países, a los suscriptores de la revista PC Business World y también a participantes de un congreso sobre el sida organizado por la Organización Mundial de la Salud. En la pegatina de estos disquetes estaba escrito AIDS Information Introductory Diskette (Disquete de Información Introductoria sobre el SIDA), estaba y decía provenir de la PC Cyborg Corporation. Todo esto no era más que un engaño, cifraba el disco duro de los computadores y pedía un rescate. AIDS fue el primer ransomware que también se difundió a escala global: llegó a unos 90 países por correo postal.

A día de hoy, han pasado 31 años y el ransomware ya se ha convertido en una industria, con avances increíbles en la materia. La pandemia de la Covid-19 no ha hecho más que acelerar el desarrollo de las campañas de infección. Las cifras e incidentes que han ocurrido en pandemia, me atrevería a decir, no tienen precedentes.El trabajo remoto podría ser uno de los causantes, ya que los controles de ciberseguridad son más débiles en el hogar que en el entorno corporativo, pero principalmente tiene relación con nuestro ansiedad e incertidumbre, lo que provoca que estemos mas “predispuestos” a caer en un phishing que contiene ransomware. Sin embargo, este aumento en las cifras en la región ya se evidencia en distintos estudios desde el año pasado:

El negocio del ransomware

Hace no mucho tiempo, el ransomware era clasificado como un incidente (DBIR) y no como una brecha, debido a que el cifrado de datos no necesariamente involucra una divulgación de confidencialidad. Sin embargo, eso ha cambiado: el negocio del ransomware ya no consiste tanto en cifrar sino en ganar dinero con la amenaza de la exfiltración de la información y hay casos que así lo demuestran.

En ElevenPaths, desde hace años, hacemos seguimiento a las distintas campañas de ransomware que existen y lo compartimos con la comunidad a través de nuestros boletines semanales e informes de investigación sobre ciberseguridad.

También lo comenté hace un mes, después de dar muchas entrevistas sobre el incidente en el Banco Estado de Chile, supuestamente provocado por Sodinokibi. Un ransomware al que, desde ElevenPaths, ya veníamos siguiendo sus campañas desde enero de este año.

Por otro lado, los avances en desarrollo de ransomware son evidentes. Por ejemplo, Conti ocupa 32 hilos de CPU en paralelo durante el proceso de infección de un computador. Sergio de los Santos escribió un post muy recomendable llamado “¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware?” que pueden ser de utilidad para entender lo que sucede en esta nueva época.

Para terminar, cabe destacar la iniciativa hacker voluntaria y sin fines de lucro llamada CTI League (Liga de Inteligencia de Amenazas Cibernéticas), una comunidad global de voluntarios de respuesta a emergencias que defiende y neutraliza las amenazas y vulnerabilidades de ciberseguridad para los sectores que salvan vidas relacionados con la pandemia actual de la Covid-19, por el gran trabajo que han realizado ayudando y evitando que mas instituciones de salud se vean afectadas por este tipo de ciberataques.

Sólo queda una pregunta: ¿cuál será el siguiente nivel en esta batalla?