Redacción TekiosLa desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. Los nuevos gruposbuscan en sus equipos habilidades especializadas, principalmente cuando se trata de negociar o pagar rescates.
El rápido aumento del modelo de negocio del Ransomware como Servicio (RaaS), en América Latina, ha dado lugar a la aparición del predominio de pequeños grupos de ransomware y, por lo tanto, el declive de los grandes grupos de ciberdelincuentes. En esta región esta actividad ya opera bajo nuevas estructuras y perfiles que imitan a las propias corporaciones con el objetivo de continuar fortaleciendo sus operaciones delictivas y a su vez represente un reto para los analistas de inteligencia de amenazas.
Suscríbete a nuestro newsletter
Oswaldo Palacios, Senior Account Executive para Akamai, destacó que la desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. De hecho en América Latina, los pequeños grupos que apuestan por el ransomware como servicio están enfocados principalmente a atacar a empresas de gobierno o de la iniciativa privada de esta región.
Expertos han estimado que, en un ataque de ransomware participan desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%).
Al respecto, Oswaldo Palacios destacó que los nuevos grupos de ransomware buscan en sus equipos habilidades especializadas principalmente cuando se trata de negociar o pagar rescates.
«Los grupos de RaaS se están volviendo más organizados y eficientes. En la actualidad cuentan con varios departamentos encargados de la administración, finanzas, recursos humanos y a la par con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección. Cada etapa del ataque cuenta con personas que actúan como los responsables o como gerentes y están apareciendo nuevos roles, como los de los negociadores de ransomware», informó el directivo.
De acuerdo con Akamai, el Ransomware como Servicio funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
En todo este ecosistema cobra gran relevancia el pago del rescate, y como muchas compañías no resisten la presión de los ciberdelincuentes, acceden como una vía fácil para recuperar el acceso a sus archivos o sistemas. Recientemente una compañía brasileña, con sede en Bauru, fue víctima de un ataque de ransomware por parte del peligroso grupo Hive y llegó a pagar diez veces más por la propuesta original.
«Este es solo uno de los cientos de ejemplos que existen sobre el pago de ransomware donde los negociadores, o más bien extorsionadores, juegan un papel importante en la última etapa del proceso (monetización) para ejercer presión en las víctimas a fin de que paguen el rescate exigido por los ciberdelincuentes, a través de correos y/o mensajes agresivos, ataques de negación de servicio distribuido (DDoS) o amenazar con liberar la información si se niega a pagar», dijo Palacios.
Generalmente los grupos delictivos de ransomware se comunican con las víctimas mediante un correo electrónico que menciona el pago del rescate. Sin embargo, a medida que el RaaS ha ido creciendo, muchos actores empezaron a establecer sus propios portales para mantener desde allí todas las comunicaciones. Algunos desarrolladores o afiliados del ransomware determinan la suma del rescate, ofrecen descuentos y discuten las condiciones de pago; en la actualidad están recurriendo a negociadores para lograr pagos efectivos y obtener mayores ganancias.
Estos negociadores requieren de una serie de habilidades imprescindibles para negociar con confianza y obtener un resultado satisfactorio, así como tener una capacidad argumentativa y persuasiva para intimidar y convencer prontamente a la víctima. «El negociador» impone una sanción lo suficientemente alta para la compañía, de acuerdo a la información secuestrada, y que en tal caso la organización se vea imposibilitada o limitada a operar y pagar el rescate.
