Estados Unidos se ha puesto en serio contra las mafias de ciberdelincuentes que operan los códigos maliciosos conocidos como ransomware. Este tipo de ciberataques entran en los sistemas informáticos de sus víctimas con el objetivo de cifrar todos sus archivos y dejar los equipos inutilizables.
Además, desde 2020 muchos de estos ataques también roban informaciones sensibles para extorsionar a sus objetivos. Por ejemplo, si no pagan un rescate económico en criptomonedas, no podrán volver a usar la información y se filtrará por internet.
Después de que un ransomware impactara sobre la infraestructura informática de Colonial Pipelines —una empresa que controla uno de los mayores oleoductos de la costa este de Estados Unidos— las autoridades norteamericanas lograron un hito en ciberseguridad: recuperaron parte del rescate de 4.4 millones de dólares (mdd) que la firma se vio obligada a pagar. El incidente dejó el oleoducto bloqueado y obligó a la administración de Biden a decretar el estado de emergencia en buena parte del país.
La mafia de criminales que reivindicó el ataque anunció poco después que cesaban sus operaciones. Junto con ella, otros colectivos del estilo han paralizado sus operaciones en los últimos meses. No obstante, sus estragos continúan, y el problema podría seguir yendo a más.
De hecho, Bleeping Computer, un medio especializado en ciberseguridad, informó que varios colectivos de criminales informáticos lanzan nuevas páginas web con la intención de captar nuevos clientes. Muchos de los desarrolladores de ransomware no propician sus ataques por sí solos sino que aceptan encargos de terceros. Es un fenómeno conocido como Ransomware as a Service (RaaS, ransomware como servicio en español).
Mediante esta fórmula, los desarrolladores atacan al objetivo que seleccione su cliente. Después, ven sus esfuerzos remunerados con un porcentaje del botín (generalmente, el rescate que pague la víctima, aunque en otras ocasiones algunas de estas mafias celebran subastas en la dark net con la información robada durante el incidente).
El lanzamiento de estas nuevas páginas coincide con que varios foros rusos decidieron prohibir y perseguir los comentarios relacionados con ransomware. Bleeping Computer destacó que al menos dos mafias lanzaron dos nuevas páginas web, aunque su propósito no es solo captar clientes. También quieren reclutar nuevos ciberdelincuentes.
Por ejemplo, un colectivo que opera un ransomware llamado LockBit anunció su nueva herramienta de ataques, «LockBit 2.0». Los delincuentes reivindican que su solución es «la más rápida del mundo» cifrando y robando archivos.
El citado medio reseña que uno de los responsables de LockBit propuso en un foro ruso crear un lugar de debate privado y seguro para tratar temas sobre ransomware. Aunque algunos usuarios consideraron que era una buena idea, otros señalaron que «el ransomware es hoy más perseguido que los terroristas del ISIS». El foro no quería ninguna atención no deseada.
Otro colectivo de ciberdelincuentes conocido como Himalaya, que comenzó sus actividades este mismo año, también ha lanzado una web en términos similares.
Una firma de ciberinteligencia llamada KELA detalla a Bleeping Computer que no es habitual ver a este tipo de colectivos intentando captar clientes de una forma tan indiscreta. Otra mafia que opera un ransomware conocido como REvil suele ser más disimulada, por ejemplo, desde que fueron expulsados de un foro de ciberdelincuentes a mediados de mayo. Desde entonces llevan sus operaciones en el ámbito más estrictamente privado.
AHORA LEE: La ciberseguridad en las pymes: la prevención y qué hacer tras un ataque
TAMBIÉN LEE: Los métodos de ciberseguridad que realmente marcan la diferencia, y los que pueden ser una pérdida de tiempo, según un estudio de Cisco