lunes, 25 de octubre de 2021

Rayo de esperanza en la lucha contra el ransomware: por qué este golpe contra una mafia de ciberdelincuentes se asestó 'en secreto'



En ciberseguridad, responder a un ataque implica, la mayor parte de las veces, responder tarde. Tanto los expertos como la propia industria de la seguridad informática enfatizan en lo imprescindible que es contar con mecanismos de prevención y detección de riesgos. Cuando los ciberdelincuentes logran hacer saltar una cerradura, el daño ya está hecho.

Esto ocurre con los ataques con ransomware. El ransomware es un tipo de código malicioso que se ha convertido en los últimos años en uno de los ataques más prevalentes. Empresas en absolutamente todo el mundo pueden ser objetivo de mafias de cibercriminales que utilizan este tipo de herramientas para cifrar los archivos de sus víctimas.


Cuando lo han conseguido, piden un rescate a cambio.

En los últimos años el ransomware ha paralizado la operativa de empresas y administraciones. El caso más cercano y reciente en España es el incidente que afectó al Servicio de Empleo Público Estatal a principios de este 2021 y al propio Ministerio de Trabajo exactamente 3 meses después. Funcionarios como los propios inspectores de Trabajo vieron su labor ralentizada.

Por la misma naturaleza de un ataque con ransomware, estos incidentes se han convertido en uno de los más difíciles de resolver. Normalmente, cuando una mafia cifra los archivos y equipos de sus víctimas, a estas no les quedan muchas más opciones que o pagar el rescate en criptomonedas o rescatar todos los archivos posibles de una copia de seguridad.

Los ciberataques a pymes españolas crecen un 70% en 2021 y ya son más del doble de los que se registraban antes de la pandemia

El problema es que desde el año 2020 los ciberdelincuentes que operan este tipo de instrumentos también están acompañando el cifrado de los archivos de sus víctimas con el robo de información sensible, con la que garantizar una campaña de extorsión a cambio de los citados rescates.

Emsisoft, una multinacional de ciberseguridad de origen neozelandés, ha conseguido, sin embargo, algo que no es habitual. De forma muy discreta, consiguieron explotar una vulnerabilidad en el código de un ransomware que empleaba un colectivo de criminales conocido como BlackMatter.

Precisamente, y hace apenas unos meses, un analista de esta firma, Brett Callow, confirmaba a Business Insider España uno de los peores augurios. "Da igual la cantidad de recursos que se inviertan, sus cifrados [los de un ransomware] no se pueden romper".

A no ser que se tenga acceso a una brecha de seguridad en la operativa de los propios delincuentes.

Ciberdelincuentes que eran viejos conocidos

BlackMatter es el nombre que recibe un colectivo de ciberdelincuentes que impactan con ransomware en EEUU y Europa desde hace semanas. Emsisoft ha confirmado que detrás de BlackMatter están los mismos criminales que operaban otro colectivo de ransomware que hasta este mismo año se hacía conocer como DarkSide.

Su antiguo nombre te sonará de algo: DarkSide es el colectivo de ransomware que impactó este mismo año sobre Colonial Pipelines, propietaria de un gasoducto en EEUU. Cuando el ransomware paralizó su operativa durante días, la Administración Biden se vio obligada a decretar el estado de emergencia en parte del país, y hubo problemas con la escasez de suministros en varias gasolineras.

Los esfuerzos del FBI lograron recuperar parte del cuantioso rescate que Colonial se vio obligada a pagar para recuperar el control de sus sistemas informáticos. El montante se cifró entonces en millones de dólares. La labor policial hizo que DarkSide desapareciera del mapa... al menos durante un tiempo.

"Es la peor empresa de reconocimiento facial del mundo": varios proveedores de tecnología de videovigilancia se quejan de forma silenciosa de Clearview AI en una conferencia

BlackMatter le cogió el testigo, eso sí. Lo que no sospechaban los criminales de BlackMatter es que Emsisoft, para entonces, ya había podido auditar cómo operaba su ransomware y ya había concluido que se trataba del mismo tipo de herramienta. Gracias a sus análisis, detectaron una vulnerabilidad con la que las víctimas de este ransomware podían descifrar sus equipos informáticos.

Y completamente gratis.

La 'industria' del ransomware evoluciona constantemente. Los criminales destinan parte de sus inmensos botines a innovar y sofisticar sus técnicas. En julio apareció una página web del ransomware de BlackMatter donde el colectivo reivindicaría sus fechorías para extorsionar a sus víctimas. En dicha web el colectivo aseguraba que no atacaban ni a hospitales ni a infraestructuras críticas.
Una brecha abierta y el dilema de gestionarlo en secreto

Pero como desgrana Emsisoft en un artículo publicado en su propia web corporativa, el ransomware de BlackMatter no estaba exento de vulnerabilidades. ¿El problema? Anunciar su hallazgo permitiría a la banda organizada corregir sus errores y hacer el ransomware todavía más eficaz.

Por eso para la multinacional es imprescindible contar con la colaboración público-privada. Para garantizar que su hallazgo podía ser de utilidad a las víctimas de BlackMatter, Emsisoft se puso en contacto con muchas de estas empresas y administraciones de forma discreta para evitar que los criminales sospecharan nada.

Fuente: https://www.businessinsider.es/golpe-historico-colectivo-ransomware-ha-aprendido-953569





No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...