14.9 K vistas
August 10th at 10:23pm

Secuestro de datos. Un negocio en alza

Hola Humano,

Bienvenido a un cortodocumental de MarginalMedia,

Hoy tratamos sobre el ransomware, o secuestro de datos en linea, una actividad criminal que está en alza. Consiste en restringir el acceso a determinadas partes o archivos de un sistema operativo infectándolo con un programa dañino para luego pedir un rescate a cambio de quitar esa restricción. 

Por ahí teníamos a medio preparar un top sobre las cinco organizaciones criminales más peligrosas en linea. Una de ellas cerró en mayo. En julio acaba de desaparecer inesperadamente otra de nuestras escogidas. Así que mejor nos apresuramos a hablar de ellas antes de que todas sean historia.

Lo que es difícil que ocurra pero sería deseable, porque según un informe de hace sólo tres meses de Sophos, un líder mundial en ciberseguridad, los costos de remediar un ataque de ransomware (o secuestro de datos) se han duplicado con creces para las empresas en los últimos 12 meses, situándose ahora cerca de los dos millones de dólares (de $ 761,106 en 2020 a $ 1.85 millones en 2021.) Esto significa que el costo promedio de recuperación de un ataque de secuestro de datos es ahora 10 veces el tamaño del pago del rescate. La consecuencia es que más organizaciones jaqueadas están decidiendo pagar el rescate que los criminales exigen (de 26% en 2020 al 32% en 2021), a pesar de que sólo un 8% de éstas consigue recuperar todos sus datos.

Al final del video mencionaremos por qué esta modalidad criminal va en aumento, antes vamos con esas cinco organizaciones que habíamos escogido para nuestro top, resaltando la que acaba de desaparecer misteriosamente, nada más ni nada menos que la célebre REvil

 

Secuestro de Datos, Un Negocio en Alza

 

Independence Day, el famoso 4 de julio estadounidense. Este año cayó en domingo. Ese día fue el señalado por el grupo ciberdelincuente REvil, con sede en Rusia, para atribuirse el ataque de secuestro de datos que había ocurrido dos días antes y que según los expertos constituía el ataque más grande de este tipo  en la historia, hasta la fecha.

Entre 800 y 1,500 empresas de todo el mundo se vieron afectadas. Los ciberdelincuentes comprometieron a Kaseya, un fabricante de software con sede en Miami que brinda servicios de tecnología a decenas de miles de organizaciones. Muchos de sus clientes son los denominados proveedores de servicios gestionados, que a su vez proporcionan seguridad y soporte técnico a otras empresas y llegan colectivamente a millones de negocios.

Mientras el F.B.I., el Departamento de Seguridad Nacional y la Casa Blanca se tiraban de los pelos, REvil se jactaba de su ataque en su sitio, llamado "Happy Blog", en la web oscura. Al tiempo que pedía $ 45,000 en criptomonedas por cada sistema informático que una víctima quisiera restaurar. A algunas empresas se les pidió un rescate de $ 5 millones. REvil también dijo que publicaría una herramienta que permitiría a todas las empresas infectadas recuperar sus datos a cambio de 70 millones de dólares en Bitcoin. Cifra que luego sugirió serían 50 millones.

Un mes antes REvil también había atacado en Estados Unidos a JBS el mayor procesador de carne del mundo. Entre un ataque y otro, el presidente Biden se reunía con el presidente Putin en Ginebra el pasado 16 de junio y le pedía que tomara medidas contra los ciberdelincuentes que atacan objetivos estadounidenses. Tras el último ataque del Día de la Independencia Biden telefoneó a Putin y en términos esta vez más exigentes le reiteró que tomase medidas contra los grupos de ciberdelincuentes que operan mayormente desde Rusia, donde raramente son detenidos o extraditados.

Biden le dijo a Putin que los ataques ya no serían tratados solo como actos criminales, sino como amenazas a la seguridad nacional, y por lo tanto podrían provocar una respuesta mucho más severa por parte de su gobierno. Cuestionado si eliminaría los servidores del grupo si Putin no lo hacía, Biden simplemente respondió: "Sí".

Y escasos días después, REvil, abreviatura de "Ransomware evil" (los malvados secuestradores de Datos ); grupo al que se le atribuyen 237 ataques a organizaciones desde 2020, (que se sepan, puesto que muchas empresas pagan discretamente a sus extorsionadores para salvar su reputación y evitar el costo de tener que reconstruir sus datos desde cero), entre ellos otro ataque en abril a una empresa taiwanesa que ensambla computadoras portátiles Apple a la que exigió un rescate de 50 millones de dólares; desapareció misteriosamente.

Su “blog feliz" donde enumeraba algunas de sus víctimas y las ganancias del grupo; los espacios de conferencias virtuales, donde REvil negociaba con sus víctimas sobre los rescates a pagar; la infraestructura para realizar pagos… Todo desapareció

 

¿Qué ha pasado? Pues una de tres.

O Putin le ha hecho caso a Biden y ha metido mano para que este conflicto entre ambos países deje de escalar. O Biden se ha cargado el grupo. O el grupo ha sentido la presión y se ha disuelto para reaparecer por otro lado.

 

Puede que haya sido Putin, que ya en la reunión de Ginebra se comprometió a la creación de un equipo de trabajo con Estados Unidos para trabajar sobre este tema.

 

Puede que haya sido Biden. El Comando Cibernético de los Estados Unidos, ya demostró el año pasado que podía paralizar a un grupo de secuestradores de datos que temía pudiesen dedicarse a bloquear los registros de votantes u otros datos electorales en las elecciones de 2020. Sin embargo el Departamento de Justicia estadounidense suele publicar las ordenes judiciales de los sítios que confisca, y esta vez no ha habido nota alguna 

 

Así que puede que REvil no quisiese verse atrapado entre dos presidentes y desmantelase el chiringuito. Parece poco probable puesto que tampoco ha habido nota alguna del grupo y eso no encaja con el carácter “fanfarrón” mostrado durante su trayectoria.  REvil de quien se estima ha sido responsable de aproximadamente una cuarta parte de todos los sofisticados ataques de secuestros de datos contra objetivos occidentales hasta la fecha, se deleitaba con la publicidad y hacía alarde de cosechar enormes rescates, incluidos los 11 millones de dólares que le sacó a JBS. No parece que de irse voluntariamente, lo hubiese hecho sin decirnos adiós 

 

Además, cuando los grupos de secuestradores de datos se disuelven, suelen publicar sus claves de descifrado. Eso no sucedió esta vez, lo que ha dejado mal parados a multitud de empresas que estaban en medio de negociaciones para poder recuperar sus datos y volver a operar y ahora han quedado sin saber a quien acudir.

 

———

La desaparición voluntaria sí parece ser el caso de la segunda organización criminal más peligrosa en linea que teníamos escogida para nuestro top. DarkSide (El Lado Oscuro). El grupo anunció su retirada tras el ataque que efectuó a Colonial Pipeline en mayo, cuando cerró la red de distribución de combustible del gigante estadounidense, provocando preocupaciones por la escasez de gasolina por todo el sureste del país.

 

En una declaración escrita en ruso, DarkSide dijo que había perdido el acceso a la parte pública de su sistema en línea, incluido su blog y servidor de pagos, así como fondos que había retirado a una cuenta desconocida. Quien sabe si ahí iban parte de los 5 millones de dólares que le había sacado a Colonial Pipeline con su chantaje.  DarkSide informó que la página web principal del grupo y otros recursos públicos se desconectarían en 48 horas.

 

DarkSide parece que surgió por primera vez en agosto del año pasado, o sea que no duró ni un año. Su modelo operativo fue ofrecer un servicio de secuestro de datos. O sea, hacía el trabajo sucio en nombre de otros perpetradores ocultos para que estos pudiesen reducir su responsabilidad. El ejecutor y el perpetrador luego compartían las ganancias. Como en el caso de Colonial Pipeline, sus víctimas fueron grandes empresas que sufrían interrupciones en sus servicios, un factor clave, ya que era más probable que pagasen un rescate. Estas empresas también tenían más probabilidades de tener un seguro cibernético, lo que facilitaba el pago a los delincuentes.

 

Grupos que ofrecen el ciberdelito como servicio, como fue el caso de DarkSide también suelen brindar comunicaciones en foros en línea para ayudar a otras personas que deseen mejorar sus habilidades en el ciberdelito. Se dedican a formar delincuentes. La declaración de DarkSide y su posterior desaparición, en este caso sí que podría ser una artimaña para desviar la atención negativa causada por el ataque a Colonial Pipeline, que también atrajo la reprimenda de Biden. Sus miembros podrían reagruparse y aparecer por otro lado. Desde mayo aún no se sabe que lo hayan ello.

 

———

 

Completamos nuestro top con las otras 3 organizaciones.

 

Clop

Grupo creado en 2019. A estos les motiva el dinero más que a cualquier otro. Se estima que ya llevan chantajeados 500 millones de dólares.

 

La especialidad del grupo es la "doble extorsión". Primero piden a las organizaciones dinero a cambio de una clave de descifrado que restaure el acceso de la organización a los datos robados, y después piden un rescate adicional para que los datos no se publiquen.

 

Los ejemplos históricos revelan que las organizaciones que pagan un rescate una vez tienen más probabilidades de pagar de nuevo en el futuro. Por lo tanto, los piratas informáticos tienden a chantajear a las mismas organizaciones repetidamente, pidiendo más dinero cada vez.

 

El Ejército Electrónico Sirio

 

Lo incluimos como una de las organizaciones criminales más peligrosas en linea pero su especialidad no es el secuestro de datos sino promover la propaganda política, algo que lleva haciendo desde 2011, por eso que al grupo se le conoce como “hactivista”

 

Si bien el grupo tiene vínculos con el régimen de Bashar al-Assad, es más probable que esté compuesto por vigilantes en línea que intentan ser auxiliares de medios del ejército sirio.

 

Su técnica consiste en distribuir noticias falsas a través de fuentes acreditadas. En 2013, un solo tweet enviado por ellos desde la cuenta oficial de Associated Press, la agencia de noticias líder en el mundo, tuvo el efecto de borrar miles de millones del mercado de valores.

 

El Ejército Electrónico Sirio explota el hecho de que la mayoría de las personas en el internet tienden a interpretar y reaccionar ante el contenido con un sentido implícito de confianza. Este grupo es un excelente ejemplo de cómo los límites entre el crimen y los grupos terroristas en internet son menos reconocibles que en el mundo físico.

 

FIN7

Si este top tuviese un número 1, probable que ese sería FIN7, otro grupo con sede en Rusia. FIN7 es posiblemente la organización criminal en línea más exitosa de todos los tiempos. Operando desde 2012, funciona principalmente como un negocio.

 

Muchas de sus operaciones no han sido detectadas durante años. Sus secuestros de datos exploran diferentes escenarios de ataques cruzados para sacarle provecho de diferentes maneras. Por ejemplo, extorsión a través de un rescate y al mismo tiempo usar los datos contra las víctimas revendiéndolos a un tercero.

 

A principios de 2017, se alegó que FIN7 estaba detrás de un ataque dirigido a empresas que presentaban documentos a la Comisión de Bolsa y Seguridad de Estados Unidos. Esta información confidencial fue explotada y utilizada para obtener un rescate que luego se invirtió en La Bolsa. Los perpetradores ganaron enormes sumas de dinero comerciando con información confidencial. El esquema de uso de información privilegiada facilitado por estos ciberdelincuentes se prolongó durante años, por lo que no es posible cuantificar la cantidad exacta del daño económico. Pero se estima en más de mil millones de dólares.

 

———

 

El primer ataque de ransomware conocido fue realizado a finales de la década de los 80, por el Dr. Joseph Popp. Pero no es hasta mediados de la década del 2010 que los ataques han crecido en popularidad. La empresa McAfee señaló en 2013 que solamente en el primer trimestre de ese año, había detectado más de 250 000 tipos de ransomware únicos.

 

Los secuestros de datos van a más. Y seguirán incrementándose a no ser que las empresas dejen de pagar los rescates o las autoridades comiencen a apresar ciberdelincuentes; lo que no es fácil porque un buen número de ellos opera en países que no extraditan personas a Estados Unidos, el país que más ha intensificado sus esfuerzos para identificar, arrestar y juzgar a estos criminales. La razón por la que las organizaciones criminales que antes iban a robarte a ti los datos de tu cuenta bancaria o tarjeta de crédito se enfocan ahora más en empresas, es porque sacan más dinero simplemente bloqueando sus datos esenciales. Y las víctimas pagan, lo que anima a los criminales. En la actualidad más negocios compran seguros contra ciberataques, pero eso ha sido un arma de doble filo. El seguro puede ayudar a las organizaciones, pero también garantiza un pago a los delincuentes. Ahora, con la pandemia, las empresas dependen más de los sistemas digitales y son más vulnerables a esta actividad criminal porque además el personal de seguridad informática que trabaja de forma remota puede ser menos rápido o eficaz de lo habitual.

 

Las empresas atacadas muchas veces no quieren hablar sobre los ataques sufridos por no mostrarse vulnerables, y eso es un error pues los delincuentes tienden a seguir un modelo de ataque similar y compartir lo que estas empresas han aprendido en su experiencia del chantaje podría ayudar a otras. Por el momento, entre la falta de coordinación y apoyo internacional para dar con estos delincuentes y cierta complacencia y complicidad que ustedes mismos pueden percibir en las redes sociales por parte de quienes creen que estos criminales son algo así como Robinhoods que sólo se dedican a robar a los poderosos, pues el secuestro de datos campea a sus anchas y el negocio florece.

 

Estos criminales no son Robinhoods y usted por muy pobre que fuese también puede ser una de sus víctimas. Considere la mujer que murió en Alemania porque fue rechazada intentando ingresar en la emergencia de un hospital al tener éste su sistema colapsado por uno de estos ataques. O que tus datos de estudiante, tus información privada, tus notas, tu número de seguridad social son revelados porque tu escuela no paga un rescate, como ocurrió en Las Vegas. O cuando el ataque frena el desarrollo de una vacuna contra covid-19 como ya ha pasado. Este es un crimen muy real cuyas consecuencias podemos sufrir cualquiera de maneras muy diversas. Mejor mostrar determinación por combatirlo sin esperar a que te toque a ti.

 

Hasta la próxima,

 

La Paz 

MOSTRAR MÁS
MOSTRAR MENOS
Categoría: Actualidad
 secuestro de datos ransomware online en linea REvil DarkSide Clop El Ejército Electrónico Sirio FIN7 Comisión de Bolsa y Seguridad de Estados Unidos ciberataques ciberdelincuencia Rusia Biden Putin Dr. Joseph Popp McAfee ciberdelito Ransomware evil criptomonedas Bitcoin Sophos ciberseguridad
Listas recomendadas!
A continuación: