Con el reciente endurecimiento legislativo y de investigación impuesto en Estados Unidos por la administración del presidente Biden, la vida de los criminales de ransomware se está volviendo cada vez más difícil. Las áreas de impunidad aún son enormes, pero los ciberdelincuentes tendrán que temer consecuencias cada vez más duras.
Entre las nuevas medidas destaca la disposición de aplicar sanciones no solo a los chantajistas, sino también a quienes permitan las transacciones de sus ganancias en criptomonedas. Esto ha llevado a las bandas criminales a estudiar nuevas técnicas de extorsión para evitar cualquier problema regulatorio con el pago de un rescate. Por ejemplo, implementando el uso de NFT, siglas de non-fungible tokens.
Los especialistas en ransomware ya son una ‘industria’ organizada, con diferentes figuras de referencia e incluso un sistema de reputación. Atacan con precisión allá donde pueden obtener ingresos más importantes. Hace diez años golpeaban de manera indiscriminada, incluso a usuarios privados que nunca habrían podido pagar el rescate. Hoy esto ya no ocurre. Lo cual parece una buena noticia para los ciudadanos de a pie, pero se convierte en una mala cuando un ataque eleva el precio de la gasolina o paraliza los hospitales.
La presión mediática, legislativa e investigativa ha producido un impulso evolutivo. Con el nacimiento o crecimiento de nuevos jugadores y la desaparición o cambio de marca de otros. En el panorama de los grupos ransomware, muchos nombres desaparecen tras ser investigados, capturados o reducidos, pero aparecen nuevos. Hace poco desaparecieron Avaddon, DarkSide, Noname, el relativamente nuevo Prometheus y REvil, también conocido como Sodinokibi. También BABUK y, por último, pero no menos importante, BlackMatter.
En el tercer trimestre de 2021, sin embargo, aparecieron CryptBD, Grief, Hive, Karma, Thanos, Pysa y Vice Society. Aunque, viendo las similitudes técnicas, parece muy probable que muchos sean cambios de nombre de grupos anteriores. Otros actores, en cambio, crecen como GandCrab, Conti y LockBit. Un universo muy complejo y en constante evolución, del que es difícil trazar un mapa definitivo.
Evolución en el ransomware
Por ejemplo, hace poco, una operación conjunta realizada por Europol, la policía noruega y otras autoridades condujo al arresto de doce personas por ataques de ransomware. Estaban dirigidos a organizaciones de todo el mundo, incluidos los operadores de infraestructuras críticas.
En concreto, los sospechosos estuvieron involucrados en más de 1800 ataques contra víctimas repartidas en 71 países. Los atacantes arrestados se centraban en las grandes empresas y pertenecían a un grupo entre cuyas víctimas también se encontraba el gigante noruego para la producción de aluminio Norsk Hydro.
Por un lado, estos derribos de acciones maliciosas confirman la validez del modelo Ransomware-as-a-Service (RaaS). Los desarrolladores de software que crean estas aplicaciones suelen recibir una parte de las ganancias de los ciberdelincuentes que las implementan. Pero estos últimos se suelen librar de las consecuencias en caso de descubrimiento. De hecho, en el modelo RaaS de REvil, por ejemplo, el grupo se embolsaba entre el 20 y el 30 % de todos los rescates. El resto era para los afiliados. Sin embargo, nadie ha averiguado nunca quiénes fueron estos afiliados responsables.
Por otro lado, la evolución de la ciberdelincuencia se está acelerando. Hoy en día, las principales amenazas incluyen programas afiliados de ransomware, malware móvil más sofisticado y nuevos tipos de fraude en línea. Evolucionan también las técnicas de extorsión. Entre los diversos ejemplos que podrían citarse, destaca la actividad del grupo SnapMC. Estos ciberdelincuentes han adoptado técnicas que no implican el cifrado de los datos de los clientes y la consiguiente ‘starvation‘. Es decir, la denegación/interrupción de los servicios que dependen de esos datos.
Ataques vía NFT
Sin embargo, quizás la evolución más interesante en las técnicas de amenazas es la que contempla el uso de los NFT. Estos son tokens no fungibles creados por grupos de ransomware. De esta forma, una organización que ha sufrido un ataque de este tipo tiene una opción adicional para demostrar a los atacantes, vía blockchain, que ha pagado el rescate.
En la práctica, el sistema funciona así: el atacante, antes de lanzar su campaña de ransomware, crea y vende una obra NFT. Para hacerlo, usa uno de los muchos marketplace dedicados. O, gracias a que muchos de estos sitios no realizan comprobaciones, roba una obra a su legítimo propietario y la pone a la venta sin su conocimiento.
Después lanza su campaña de ransomware. Entonces, cuando una organización se ve comprometida, en lugar de pedirle un rescate normal, el ciberdelincuente solicita la compra de la obra NFT previamente preparada a un precio establecido. De esta forma, la organización obtiene la clave de descifrado de sus datos. Y también una obra de arte NFT, a menudo de baja calidad o robada, con lo cual de escaso valor. La ventaja de la que aprovechan los cibercriminales es que los NFT aún no son compras rastreadas.
Es una manera ‘creativa’ de eludir cualquier problema regulatorio para pagar un rescate. Los abogados de las víctimas siempre pueden ocultar la evidencia afirmando que no han pagado, sino que han invertido en un NFT. Esto también es posible porque los principales mercados de NFT cuentan con defensas débiles contra las estafas. Como hemos mencionado, las obras digitales robadas pueden venderse en el mercado NFT, incluso sin el conocimiento del verdadero autor. Lo mismo ocurre con las obras originales pero creadas con una intención delictiva.
Por Alberto Barbieri
Imágenes | Fakurian Design/Unsplash, Arget/Unsplash, Tezos/Unsplash