Kaspersky aprovecha el Día del anti-ransomware para explicar su ecosistema y cómo combatirlo

El ransomware es un tipo de ciberataque que se ha popularizado mucho en los últimos tiempos. Consiste en acceder de manera no autorizada a un sistema, establecer una contraseña que impide su utilización o acceso al propietario, solicitando a cambio de la contraseña un rescate.

Para ayudar a comprender cómo funciona el ecosistema que permite el funcionamiento de estos ciberataques, y para ayudar a combatirlo, Kaspersky ha analizado los foros de a Darknet, investigando a dos de los grupos más activos: REvil y Babuk.

El ecosistema del ransomware está compuesto por muchos actores que se ocupan de distintas funcione específicas: desarrolladores, botmasters, vendedores de acceso, operadores de ransomware… que intercambian, coordinan y contratan sus servicios a través de los mercados de la Darknet, la Internet Oscura.

Anuncios y suscripciones

En ella se encuentran mediante foros especializados que contienen anuncios donde ofrecen servicios y acuerdos de colaboración. Sin embargo también hay otros grandes actores que operan por su cuenta y no frecuentan este tipo de sitios. Otros, como REvil, que ha incrementado sus ataques a empresas y organismos en los últimos meses, publican sus ofertas y novedades de forma regular mediante programas de afiliados . Estos suponen una asociación entre el operador del grupo de ransomware y el afiliado. En esa asociación el operador del ransomware se lleva una parte de los beneficios (entre el 20 % y el 40%) mientras que el 60/80 % restante se lo queda el afiliado.

El proceso se efectúa atendiendo a criterios geográficos e incluso por ideología política, mientras que las víctimas del ataque de ransomware se seleccionan en función de la oportunidad, separando los agentes que infectan a las organizaciones objeto del ataque de quienes operan el ransomware. Una vez obtenidos los accesos, estos se venden o se subastan por precios que en ocasiones rondan apenas los $50.

Otras ofertas presentes en los foros especializados en ransomware se refieren a muestras de malware por precios que oscilan entre los $300 y $4.000. Incluso hay ofertas de “servicio de ransomware” donde, como en un modelo de suscripción de una app o una suite ofimática, se apoya de manera continua a los desarrolladores con packs mensuales que pueden ir desde los $120 mensuales a los $1.900 anuales.

Recomendaciones contra el ransomware

Kaspersky recomienda, en el Día del Ransomware, las siguientes buenas prácticas:

• Actualizar el software en todos los dispositivos para evitar intrusiones por vulnerabilidades.
• Detectar movimientos laterales y exfiltración de datos a Internet, detectando conexiones de ciberdelincuentes en el tráfico saliente.
• Hacer copias de seguridad offline que no puedan manipularse desde fuera, pudiendo acceder a ellas con rapidez en caso de emergencia.
• Activar protección contra ransomware en todos los terminales y servidores
• Instalar soluciones anti-EPT y EDR capaces de detectar amenazas avanzadas