El último año existía cierto optimismo. Parecía que la marea estaba cambiando con el ransomware después de que el gobierno de los EE. UU. obtuviera un puñado de victorias contra los ciberdelincuentes que realizaban estos ataques cada vez más dañinos: el Departamento de Justicia incautó con éxito $ 2.3 millones en bitcoins que Colonial Pipeline pagó a la banda de ransomware DarkSide para recuperar sus datos. , y meses después jugó un papel en la caída de la notoria banda de ransomware REvil.
Dicho optimismo duró poco. A pesar de esta acción, parece que 2022 superará al año pasado como el peor año registrado en cuanto a ataques de ransomware; un reciente informe muestra que los ataques han aumentado un 80 % año tras año y que los ciberdelincuentes responsables de estos ataques han eludido fácilmente las acciones de las fuerzas del orden aprovechando el ransomware como servicio o simplemente cambiando su marca.
«Está claro que los ataques de ransomware van en aumento», dice Matthew Prince, director ejecutivo de Cloudflare. «En septiembre de 2022, casi uno de cada cuatro encuestados en nuestra encuesta de clientes informó haber recibido un ataque o amenaza de ransomware, el mes más alto hasta ahora de 2022».
El peor año de ataques de ransomware
2022 no solo ha sido el peor año para los ataques de ransomware estadísticamente, sino que también ha sido en general el peor. Mientras que los piratas informáticos se centraron el año pasado en la infraestructura crítica y los servicios financieros, el enfoque de este año ha estado en las organizaciones donde pueden infligir el mayor daño.
En un ataque al Distrito Escolar Unificado de Los Ángeles, los piratas informáticos de Vice Society filtraron un tesoro de 500 gigabytes de datos confidenciales, incluidos informes de condenas anteriores y evaluaciones psicológicas de los estudiantes, mientras que un ataque al proveedor de servicios de TI Advanced dejó al NHS del Reino Unido luchando después de que fue forzados a cancelar citas, y el personal confiando en tomar notas con lápiz y papel.
Quizás el ataque más devastador de 2022 se produjo hace solo unas semanas después de que los atacantes violaran el gigante australiano de seguros de salud Medibank y accedieran a aproximadamente 9,7 millones de datos personales de clientes y datos de reclamos de salud para casi medio millón de clientes. Los datos robados durante el ataque incluían archivos confidenciales relacionados con abortos y enfermedades relacionadas con el alcohol.
Estos ataques no solo demuestran que el ransomware está empeorando. También muestran que el ransomware es un problema global y que se necesita una acción global para contraatacar con éxito. A principios de noviembre, el gobierno de los EE. UU. comenzó a avanzar en la dirección correcta y anunció que establecerá un Grupo de trabajo internacional contra el ransomware, o ICRTF, para promover el intercambio de información y capacidades.
«Este es un problema global, por lo que los gobiernos deben unirse», dice Camellia Chan, directora ejecutiva y fundadora de la firma de seguridad cibernética X-PHY. “Dicho esto, la colaboración por sí sola no proporcionará una solución. Es más que firmar un acuerdo”.
Los tanques de combustible se pueden ver en Colonial Pipeline Baltimore Delivery en Baltimore, Maryland, el 10 de mayo de 2021. El gobierno de los EE. UU. declaró una emergencia regional el 9 de mayo de 2021, ya que el sistema de tuberías de combustible más grande de los EE. UU. permaneció cerrado en gran parte, dos días después de un ataque de ransomware.
Este es un punto de vista compartido entre la comunidad de seguridad cibernética: firmar acuerdos y compartir inteligencia está muy bien, pero es poco probable que disuada a los ciberdelincuentes motivados financieramente que continúan cosechando las recompensas de estos ataques.
Para ganar terreno a los ciberdelincuentes que continúan logrando una alta tasa de éxito, los gobiernos necesitan un enfoque nuevo.
Más cooperación de los gobiernos
«No puede detener el problema», dice Morgan Wright, asesor jefe de seguridad de SentinelOne. “Hay numerosos ejemplos de actores de ransomware criminales transnacionales y actores de estados-nación identificados y acusados de varios delitos. Estos delincuentes casi siempre viven en países que no tienen tratado de extradición con el país que ha emitido las acusaciones”.
“Un área en la que me gustaría ver un mayor esfuerzo es en el área de recopilación humana de inteligencia”, agregó Wright. “Necesitamos más penetración de actores estatales y organizaciones criminales. Con demasiada frecuencia, el ransomware se considera un problema técnico. No lo es. Es la codicia humana la que utiliza la tecnología para lograr un objetivo final”.
Este elemento de codicia también podría ser objeto de una mayor regulación del mercado de criptomonedas, que muchos creen que podría estar en el horizonte tras el reciente colapso de FTX. El exdirector asistente de CISA, Bob Kolasky, dijo que para desalentar definitivamente a los actores de ransomware, los gobiernos deben reducir los instrumentos financieros disponibles para su uso.
«Esto incluye el uso de la presión regulatoria en el mercado de criptomonedas para facilitar el seguimiento y la recuperación de los pagos de ransomware», dice Kolasky, una opinión compartida por otros.
«Necesitamos que los gobiernos desempeñen un papel más importante en el bloqueo de las criptomonedas, que es el habilitador de las estrategias de monetización de los atacantes», está de acuerdo David Warburton, director de la empresa de redes F5 Labs, y apunta: «Si bien las monedas descentralizadas, como bitcoin, no son intrínsecamente malos, ni los únicos responsables de la epidemia de ransomware que enfrentamos, no se puede negar que son un factor enorme”.
“Si bien el control y la regulación anulan un poco la intención original de las monedas descentralizadas, no se puede escapar del hecho de que sin Bitcoin, el ransomware simplemente no existiría”, dijo Warburton.
Pero la legislación no funcionaría a menos que sea un esfuerzo global, añadió: «Muchos grupos de ransomware operan desde países que no tienen motivación para ayudar a los que están siendo atacados».
Este es un problema que, como el propio ransomware, se ha visto agravado por la invasión de Ucrania por parte de Rusia, que ha puesto fin a cualquier cooperación entre Europa, EE. UU. y Rusia en operaciones de ransomware dentro de Rusia. Jason Steer, director de seguridad de la información del gigante de inteligencia de amenazas Recorded Future, dijo que esta es un área que necesita de inmediato más apoyo del gobierno global.
“El enfoque ha disminuido significativamente en 2022 debido a las actividades de Rusia, desde donde, de hecho, muchos grupos operan de manera segura”, dijo Steer.
Incluso si los gobiernos unieran sus fuerzas para combatir en colaboración el creciente problema del ransomware, es poco probable que tenga un efecto inmediato. Los expertos en seguridad no esperan un respiro del ransomware a medida que ingresamos en 2023 a medida que los piratas informáticos cada vez más expertos explotan nuevos vectores de ataque y continúan cosechando las recompensas financieras.
“Hay gobiernos que están trabajando para brindar más apoyo y recursos. Pero nunca será suficiente”, dice Wright. “Los malos actores siempre tendrán la ventaja, pero deberíamos hacerles pagar de manera significativa cada vez que se lanza un ataque”.
