El año pasado dejó a la vista un alto índice de casos de ataques ransomware en Latinoamérica. Según informó Forti Guards Labs, México fue el país más perjudicado, con más de 18.000 detecciones. Luego le siguen Colombia, Costa Rica, Perú, Argentina y en último lugar Brasil.
El aumento de este tipo de estafas se ve reflejado en los números, ya que los mismos arrojan que en el 2021 hubo tan solo 5.400 firmas de ransomware en América Latina y en el 2022 llegaron a 10.666.
Es importante destacar que el modelo de negocios as a service es el más utilizado, por los atacantes, para cometer fraude.
¿Por qué este negocio es el más utilizado por los cibercriminales?
Tiene un alto grado de anonimato ya que la proveeduría del servicio es por internet.
El desarrollo del negocio puede ser propio y no necesariamente tiene que existir relación con quien planifica el ataque.
Puede estar camuflado dentro de una empresa de software.
Puede segmentarse el servicio, desarrollo, compromiso de redes y filiaciones.
Tiene anonimato el actor que fondea la contratación.
Puede existir que el RaaS sea automantenido, es decir, que generen sus propios fondos para el modelo de negocio.
Estos son algunos de los puntos a tener en cuenta cuando se investiga este tipo de ataques en Latinoamérica. Teniendo en cuenta que la problemática se da en empresas locales del tipo Pymes.
A medida que crece la empresa es aconsejable que en el análisis se consideran los siguientes ítems;
Historial de ataques regionales en el último tiempo.
Conocer los actores principales que participan en la región, grupos APTs, comerciales, etc.
Considerar el hacktivismo local.
Tener en cuenta la fluctuación económica basada en crypto.
Hay dos técnicas soporte con mayor utilización en ataques de ransomware:
Constructores de sitios webs
Es un ataque que compromete a sitios legítimos por intermedio de creadores de sitios webs que son utilizados por agencias creativas. Por intermedio de un script se redirecciona a la víctima a un sitio que tiene listo el atacante con posible descarga de malware el cual la víctima tiene un bajo grado de detección por la similitud de las la URL. Se utiliza en ataques masivos.
Watering Hole
Es una técnica de ataque que tiene como acción principal conocer el comportamiento de navegación de los empleados dentro del sitio web de la empresa y sus enlaces. En este caso el malware está vinculado a las familias de los RATs.
Estos dos ejemplos son:
Notorios vinculados a cadena de suministro.
No están explícitamente dentro de las campañas de phishing.
Aquí las técnicas tienen estructuras de ataque muy organizadas.
No se ve al criminal como persona aislada, sino como organización.
Pensar en la prevención es la primera salida para dar una posible solución a este tipo de ataques, pero esta no es contra el ransomware, sino más bien a favor de una estructura organizacional consiente de la vulnerabilidad que hoy atraviesa la empresa. En muchos casos es posible pensar una respuesta desde la negociación, pero hay que tener en cuenta que si las empresas están vinculadas a paises como EEUU puede ser tomado como falta de compliance, por lo tanto el pago no es la solución; en el caso de las Pymes afrontar los gastos de consultoría y pago del rescate termina siendo una carga de ROI que posiblemente termine con la vida de la empresa. Por lo tanto en la cultura de las buenas prácticas, mitigación sigue siendo la mejor medida para frenar el impacto del ataque.