Así es la «víctima perfecta» para un ataque de ransomware

 Se calcula que más de un tercio de las empresas han sufrido un ataque de estas características en los últimos 12 meses y en España, organismos como el SEPE o el Ministerio de Trabajo y Economía Social, han sufrido las consecuencias.

Así las cosas, la consultora de ciberseguridad Kela, acaba de publicar un informe, en el que se dibujan los rasgos característicos que tienen esas empresas e instituciones que resultan mucho más atractivas para los cibercriminales y que por lo tanto, tienen más posibilidades de ser futuras víctimas de un ataque de ransomware.

Así, en lo que es una auténtica industria que busca maximizar su propio ROI, una de las principales conclusiones a las que llega el estudio es en cierta medida evidente: aquellas empresas que teóricamente tienen más capacidad para pagar un rescate, son las que se sitúan entre las más «demandadas»… Y en este sentido, son empresas americanas con una facturación anual superior a los 100 millones de dólares, las primeras que deben vigilar sus espaldas.

Ya les contamos cómo en el mundo del ransomware, conviven y colaboran varias partes implicadas: desde los hackers que diseñan el software, hasta los que comercializan vulnerabilidades…pasando por los que «simplemente»  venden el acceso a un sistema.

Si la cantidad que exigen los cibercriminales para rescatar los archivos cifrados ha aumentado exponencialmente en los últimos años, se debe precisamente a eso: la aparición de grupos de intermediarios que viven en este espacio económico, se ha convertido en un lucrativo negocio en el que los accesos comprometidos se ofrecen un mejor postor, que querrán recuperar su inversión.

Tras las empresas americanas con recursos suficientes para afrontar estos pagos, el estudio llega a la conclusión que las empresas canadienses, australianas y en menor medida, las europeas, son las preferidas por los cibercriminales. Las compañías rusas se encuentran en cambio entre las menos demandadas, así como las localizadas en países en vías de desarrollo, por su escasa capacidad para poder pagar un rescate interesante.

Más de la mitad de estos grupos de cibercriminales sin embargo, rechazan sistemáticamente el acceso a organizaciones del sectores como el sanitario o educativo, independientemente del país en el que se encuentren. En la mayoría de los casos además, y a menos que no haya un motivo de peso que vaya más allá de la ganancia económica, entidades gubernamentales y organizaciones sin ánimo de lucro no despiertan demasiado interés entre los grupos de ransomware.

Plataformas y vulnerabilidades favoritas

Además del tipo de empresas a la que se puede atacar, la mayoría de los grupos de ransomware también muestran determinadas preferencias cuando hablamos de las formas de acceder y comprometer los sistemas de sus potenciales víctimas.

Explotar vulnerabilidades en el Protocolo de Escritorio Remoto (RDP) y en las redes VPN, se encuentran en este sentido, entre las formas de acceso más «populares»; exploits para productos desarrollados por compañías como Citrix, Palo Alto Networks, VMware, Cisco o Fortinet, son casi siempre los más demandados.

Más allá de esto, el estudio desarrollado por Kela revela que la demanda de vulnerabilidades para paneles de administración de comercio electrónico, bases de datos no seguras e incluso servidores de Microsoft Exchange, van en aumento…ya sea para poner en marcha futuros ataques de ransomware, como para el robo de información confidencial o incluso, la implementación de malware para el minado de criptomonedas.

El informe de la consultora muestra que casi el 40% de los anuncios que se publican en los foros de la dark web corresponden precisamente a esta comercialización de accesos que ya han sido explotados… en una modalidad que ha recibido el justo nombre de RaaS (Ransomware as a Service) y estima que el precio medio de cada uno de estos accesos se sitúa en torno a los 100.000 euros.

Por último, otra tendencia interesante es la creciente demanda de negociadores. Los operadores de RaaS intentan rentabilizar mejor la fase de un ataque en la que la víctima se pone en contacto con los operadores de ransomware para negociar un pago, pero como las barreras lingüísticas pueden provocar una falta de comunicación, los grupos de ransomware intentan asegurarse nuevos miembros del equipo capaces de manejar el inglés, el español y otros idiomas con soltura.