redaccion@diariodigitalis.com

El negociador y el especialista en intrusiones: dos expertos cada vez más demandados por las bandas de ransomware

Según una investigación de la compañía experta en ciberseguridad KELA, ahora los ataques de ransomware rara vez son perpetrados por una sola persona, sino que actualmente predomina un modelo similar al de las organizaciones criminales, en el que cada “empleado” está especializado en una función determinada. De hecho, incluso ofrecen puestos para especialistas en intrusiones y para negociadores, una figura que se dedica a extorsionar a las víctimas para conseguir que paguen el rescate.

“El ecosistema subterráneo del ciberdelito una vez albergó a ciberdelincuentes que realizaban ataques de principio a fin por su cuenta. Este programa unipersonal se ha disuelto casi por completo, ya que una de las tendencias más destacadas que surgió es la especialización de los ciberdelincuentes en diferentes nichos”, explicó la analista de seguridad Victoria Kivilevich en una publicación de la compañía.

Diversificación de funciones

Como asegura KELA, los actores de ransomware ya no trabajan individualmente, sino que se han organizado en bandas criminales muy bien estructuradas, donde cada miembro está especializado en una función específica. Todos forman parte de un entramado, donde cada uno se lleva un porcentaje de los beneficios obtenidos de sus víctimas.

A pesar de que las autoridades recomiendan no pagar nunca el rescate, muchas compañías acaban cediendo para poder retomar su actividad o evitar posibles filtraciones comprometidas. No obstante, en la mayoría de los casos, pagar no garantiza que los delincuentes liberen la información robada. Por eso, es indispensable contar con una seguridad férrea de antemano.

Id bootcamps Banner

La compañía de ciberseguridad ha determinado que existen cuatro etapas diferentes en el proceso de un ataque de ransomware:

  • Código: el primer paso de los criminales es obtener el código malicioso, ya sea por cuenta propia o aprovechando su distribución por otras vías, sobre todo en la Deep Web.
  • Propagación: infectar a todos los objetivos seleccionados sin que estos sean capaces de darse cuenta y, por tanto, reaccionar a tiempo.
  • Extracción: acceden a sus sistemas informáticos con el fin de extraer sus datos personales y, posteriormente, encriptarlos para pedir un rescate.
  • Monetización: es la etapa culminante, ya que es cuando logran obtener el pago por parte de sus víctimas.

Según KELA, la demanda de especialistas ha aumentado especialmente en las dos últimas fases del proceso. En cuanto la etapa de extracción, están contratando personal experto en escalar privilegios dentro de una red comprometida. Con respecto a la monetización, buscan incorporar negociadores a su plantilla.

Especialistas en intrusiones

Los investigadores descubrieron que el precio para acceder a un sistema ha aumentado entre un 25% y un 115% con respecto a los registrados anteriormente, sobre todo si tienen éxito en la escalada de privilegios hasta el nivel de administrador de dominio; algo que podrían aprovechar para que su ataque fuera mucho más efectivo y devastador.

Por eso, este tipo de acceso está mucho mejor pagado que el acceso a un sistema como usuario. Del mismo modo, este tipo de expertos, que los ciberdelincuentes rusos califican como “pentesters”, puede obtener una mayor parte de los beneficios derivados del rescate.

“El análisis de KELA de los listados de acceso a la red ofrecidos públicamente a la venta en enero-mayo de 2021 muestra que el acceso de administrador de dominio promedio cuesta al menos 10 veces más que el acceso a una máquina con derechos de usuario”, afirma Kivilevich.

Aun así, parece ser que la mayoría de las ofertas publicadas corresponden al acceso a nivel de derechos de usuario, ya que sólo se demandaba un rol especializado en alcanzar privilegios de administrador en el 19% de las listas que KELA analizó. Sin embargo, los no tan expertos también reciben buena parte del pastel. La organización estima que los especialistas en intrusiones a nivel de usuario pueden obtener entre un 10% y un 30% de los beneficios obtenidos en el rescate.

El negociador: un experto en extorsionar a las víctimas

Dentro del modelo de Ransomware como Servicio (RaaS), actualmente hay mucha demanda de negociadores, aunque más bien se les podría denominar extorsionadores. Y es que esa figura es la encargada de participar en la última etapa del proceso (monetización) para garantizar que las víctimas paguen el rescate exigido por los ciberdelincuentes.

KELA establece dos motivos fundamentales por los que las bandas criminales están recurriendo a ellos: obtener un mayor margen de beneficios y poder mantener una conversación fluida en el idioma de la víctima, principalmente en inglés, ya que muchas organizaciones criminales operan desde Rusia u otros países no angloparlantes.

La compañía de ciberseguridad se enteró del asunto gracias a sus incursiones en foros de habla rusa, donde los actores de amenazas cibernéticas buscaban negociadores o discutían su trabajo. Precisamente, el representante de REvil, tan popular actualmente, estaba buscando un candidato al puesto y el “inglés conversacional” era un requisito indispensable. Gracias a sus pesquisas, pudieron estimar que los negociadores pueden percibir entre el 10% y el 20% del rescate obtenido.

Imagen de TheDigitalArtist en Pixabay

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter