El rápido aumento del modelo de negocio del Ransomware como Servicio (RaaS) en América Latina ha dado lugar a la aparición del predominio de pequeños grupos de ransomware y, por lo tanto, el declive de los grandes grupos de ciberdelincuentes.
En esta región esta actividad ya opera bajo nuevas estructuras y perfiles que imitan a las propias corporaciones con el objetivo de continuar fortaleciendo sus operaciones delictivas y a su vez represente un reto para los analistas de inteligencia de amenazas.
Oswaldo Palacios, Senior Account Executive para Akamai, destacó que la desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. De hecho, en América Latina, los pequeños grupos que apuestan por el ransomware como servicio están enfocados principalmente a atacar a empresas de gobierno o de la iniciativa privada de esta región.
“Los grupos de RaaS se están volviendo más organizados y eficientes. En la actualidad cuentan con varios departamentos encargados de la administración, finanzas, recursos humanos y a la par con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección”, informó el directivo.
Expertos han estimado que, en un ataque de ransomware participan desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%). Al respecto, Palacios destacó que los nuevos grupos de ransomware buscan en sus equipos habilidades especializadas principalmente cuando se trata de negociar o pagar rescates.
De acuerdo con Akamai, el ransomware como Servicio funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones.
En todo este ecosistema cobra gran relevancia el pago del rescate, y como muchas compañías no resisten la presión de los ciberdelincuentes acceden como una vía fácil para recuperar el acceso a sus archivos o sistemas.
Generalmente los grupos delictivos de ransomware se comunican con las víctimas mediante un correo electrónico que menciona el pago del rescate. Sin embargo, a medida que el RaaS ha ido creciendo, muchos actores empezaron a establecer sus propios portales para mantener desde allí todas las comunicaciones.
Algunos desarrolladores o afiliados del ransomware determinan la suma del rescate, ofrecen descuentos y discuten las condiciones de pago; en la actualidad están recurriendo a negociadores para lograr pagos efectivos y obtener mayores ganancias.
Al ser ataques dirigidos, la mayoría de las veces los delincuentes conocen qué puntos son más importantes para la compañía y cómo atacarlos, de tal forma que la organización se vea imposibilitada de operar y obligada a pagar el rescate.
Sin embargo, el experto de Akamai recomendó a las organizaciones no realizar el pago por un rescate de ransomware ya que el hacerlo no garantiza recuperar la información ni la operación de la compañía.
Fuente: Akamai
