Tras la publicación de informes sobre nuevos grupos de Ransomware, los investigadores de Counter Threat Unit (CTU) de Sophos, reciben con frecuencia preguntas sobre qué amenaza representan estos grupos para organizaciones en sectores o ubicaciones geográficas específicas. Y esto abre una nueva interrogante: la forma en que estos atacantes escogen a sus víctimas.
En general, los ciberdelincuentes buscan obtener ganancias económicas, por lo que todas las organizaciones son potenciales blancos de estos grupos.
Lee también: Sony no ha dicho la última palabra aún con los smartphone: Prepara la salida global de dos nuevos modelos
En contraste, los actores patrocinados por Estados utilizan Ransomware con fines destructivos, ya sea para encubrir actividades de espionaje, generar ingresos o bien lograr una combinación de estos objetivos. Cada uno de estos grupos presenta un perfil de amenaza distinto, por lo que las organizaciones en riesgo pueden variar considerablemente.
Ciberdelitos: lo más prevalente
Los ataques con motivación financiera son, por mucho, las operaciones de Ransomware más frecuentes. Dado que los actores de amenazas victimizan a cualquier organización a la que puedan acceder, organizaciones de todos los sectores y ubicaciones están en riesgo.
Si bien algunos grupos pueden optar por explotar accesos disponibles en empresas con mayores ingresos, bajo la premisa de obtener un rescate más alto, la telemetría de clientes de Sophos revela que la mayoría de los intentos de despliegue de Ransomware ocurren en organizaciones pequeñas. Estas empresas suelen ser más susceptibles debido a presupuestos limitados de ciberseguridad y a la falta de recursos internos especializados.
Acceso oportunista para obtener beneficios financieros
Según Sophos, las operaciones con motivación financiera son casi completamente oportunistas y se basan en el acceso disponible. Dicho acceso puede haberse obtenido mediante malware distribuido en campañas de phishing, contraseñas capturadas por ladrones de información o la explotación de vulnerabilidades en servicios expuestos a internet.
Más allá del método, el enfoque es aleatorio y no dirigido. Por ello, los investigadores de CTU evitan utilizar el término “dirigido” al hablar de estos ataques y prefieren emplear “victimización” para describir el proceso de selección de víctimas.
El papel de la “geopolítica”
Cualquier proceso de búsqueda de objetivos probablemente implica evaluar a qué víctimas no atacar, más que solo decidir a cuáles sí. Por ejemplo, la mayoría de los grupos de Ransomware de Rusia y Europa del Este evitan deliberadamente comprometer organizaciones en Rusia u otros países de la Comunidad de Estados Independientes (CEI), y cada vez más en países del bloque económico BRICS, para evitar la atención de las fuerzas del orden rusas o alineadas con Rusia.
Algunos grupos también intentan evitar el ataque a organizaciones del sector salud o de infraestructura crítica, probablemente para eludir la presión internacional sobre las autoridades locales, aunque a menudo justifican estas decisiones con supuestos argumentos éticos o morales exagerados y poco creíbles.
Industrias y regulaciones
El sector bancario es un buen ejemplo de la naturaleza oportunista. Los bancos generan altos ingresos y una interrupción operativa causada por un ataque sería un fuerte incentivo para pagar un rescate. En teoría, estos factores los convertirían en objetivos ideales. Sin embargo, los investigadores de CTU de Sophos observan muy pocos bancos afectados por Ransomware. Esto probablemente se deba a que se trata de un sector altamente regulado, con estándares obligatorios de ciberseguridad que eliminan desventajas competitivas.
En tanto, en sectores no regulados, las organizaciones son más susceptibles a ataques oportunistas, ya que no existe el mismo incentivo para aplicar prácticas sólidas de ciberseguridad. Por ejemplo, reforzar la seguridad en el sector manufacturero incrementa costos y puede hacer que los productos de un competidor resulten más baratos.
Cuando organizaciones de un sector específico son victimizadas por un grupo en particular, lo más probable es que se deba a que dicho grupo explotó una vulnerabilidad en un servicio ampliamente utilizado en ese sector. No obstante, existen excepciones. Algunos grupos pueden victimizar organizaciones de sectores que consideran más propensos a pagar un rescate, como ocurrió con los ataques a hospitales durante el COVID-19.
Cortinas de humo y ataques patrocinados por Estados
Utilizar los ataques como cortinas de humo para encubrir otros ilícitos es algo que también se ha observado, especialmente en actores patrocinados por Estados, como grupos chinos que utilizan Ransomware como cobertura para realizar espionaje.
Este método aprovecha “ciertas ventajas” que proporciona el Ransomware en su actuar. Por ejemplo, el cifrado de sistemas oculta rastros forenses, mientras que la narrativa del secuestro de datos desvía la atención de los verdaderos objetivos del ataque.
En estos casos, el Ransomware se despliega de manera dirigida, como suele ocurrir con cualquier operación estatal.
Otras motivaciones
Sin embargo, de acuerdo con los investigadores de Sophos, también existen muchas más dimensiones, y muy diversas. Por ejemplo, al reclutar afiliados, algunos grupos establecen condiciones como prohibiciones para atacar ciertos sectores o regiones, y requisitos de que las víctimas superen determinados niveles de ingresos para asegurar que el tiempo invertido genere un pago rentable.
Otros atacantes se enfocan en Comprometer la Cadena de Suministro, lo que puede hacer que las operaciones de Ransomware o robo de datos parezcan dirigidas cuando en realidad no lo son.
El Reconocimiento entre pares también puede alterar la dinámica, sin que la motivación principal sea necesariamente económica. En estos casos, los ataques suelen impactar a organizaciones de alto perfil. En tanto, actores del Ransomware como servicio (RaaS), pueden buscar Construcción de Marca, para atraer a nuevos afiliados, independientemente de la probabilidad de obtener un rescate y solo con el fin de aumentar el número de víctimas y aparentar mayor impacto.
Finalmente, y aparte de todas las motivaciones, los investigadores también han visto casos de Atacantes Inexpertos, que no realizan ningún tipo de análisis ni planificación, y probablemente no sean del todo conscientes de a quién han victimizado hasta después de haber robado datos y desplegado Ransomware.
Conclusiones
La mayoría de los ataques de Ransomware son oportunistas y ejecutados por ciberdelincuentes con fines económicos. Los actores de amenazas explotan el acceso disponible en lugar de intentar obtener acceso a objetivos prioritarios. Cualquier análisis, si ocurre, sucede después de haber obtenido el acceso. En este sentido, las organizaciones son victimizadas más que seleccionadas.
Los investigadores de CTU recomiendan las siguientes acciones. Si bien no es sencillo aplicarlas, deben figurar entre las principales prioridades de cualquier organización:
- Aplicar parches a servicios expuestos a internet para evitar su detección en escaneos rutinarios de vulnerabilidades.
- Implementar MFA de forma robusta, preferentemente resistente al phishing, en todas las cuentas de usuario.
- Utilizar soluciones de detección y respuesta en endpoints (EDR) para aumentar las oportunidades de detección y remediación.
- Contar con respaldos inmutables que permitan una recuperación más rápida y el retorno oportuno a la operación normal.