Roberto Musotto, investigador, Universidad Edith Cowan, Brianna O’Shea, profesora de Defensa y Hacking Ético, Universidad Edith Cowan, y Paul Haskell-Dowland, Decano Asociado (Informática y Seguridad), Universidad Edith Cowan.
¡En Internet, nadie sabe que eres un perro!
Estas palabras de la famosa caricatura de Peter Steiner podrían aplicarse fácilmente al reciente ataque de ransomware al proveedor de software con sede en Florida Kaseya.
Kaseya ofrece servicios de software a miles de clientes en todo el mundo. Se estima que entre 800 y 1.500 empresas medianas y pequeñas pueden verse afectadas por el ataque, y los piratas informáticos pueden exigir 50 millones de dólares (menos que los 70 millones de dólares reportados anteriormente) a cambio de restaurar el acceso a los datos que se guardan a cambio de un rescate.
El ataque global de ransomware ha sido calificado como el más grande registrado. La organización ciberdelincuente rusa REvil es el presunto culpable.
A pesar de su notoriedad, nadie sabe realmente qué es REvil, de qué es capaz o por qué hace lo que hace, aparte del beneficio inmediato de enormes sumas de dinero. Además, los ataques de ransomware a menudo involucran vastas redes distribuidas, por lo que ni siquiera es seguro que las personas involucradas se conozcan entre sí.
Los ataques de ransomware están creciendo exponencialmente en tamaño y demanda de rescate, cambiando la forma en que operamos en línea. Comprender quiénes son estos grupos y qué quieren es fundamental para eliminarlos.
Aquí, enumeramos las cinco organizaciones criminales más peligrosas actualmente en línea. Hasta donde sabemos, estos grupos deshonestos no están respaldados ni patrocinados por ningún estado.
Lado oscuro
DarkSide es el grupo detrás del ataque de rescate de Colonial Pipeline en mayo, que cerró la red de distribución de combustible de Colonial Pipeline de EE. UU., Lo que provocó preocupaciones por la escasez de gasolina.
El grupo aparentemente surgió por primera vez en agosto del año pasado. Se dirige a las grandes empresas que sufrirán interrupciones en sus servicios, un factor clave, ya que es más probable que paguen un rescate. Estas empresas también tienen más probabilidades de tener un seguro cibernético que, para los delincuentes, significa ganar dinero fácilmente.
El modelo comercial de DarkSide es ofrecer un servicio de ransomware. En otras palabras, lleva a cabo ataques de ransomware en nombre de otros perpetradores ocultos para que puedan reducir su responsabilidad. El ejecutor y el perpetrador luego comparten las ganancias.
Los grupos que ofrecen ciberdelito como servicio también brindan comunicaciones en foros en línea para ayudar a otras personas que deseen mejorar sus habilidades en ciberdelito.
Esto podría implicar enseñarle a alguien cómo combinar ataques distribuidos de denegación de servicio (DDoS) y ransomware, para ejercer presión adicional sobre las negociaciones. El ransomware evitaría que una empresa trabaje en pedidos pasados y actuales, mientras que un ataque DDoS bloquearía cualquier pedido nuevo.
Mal
El grupo de ransomware como servicio REvil está actualmente en los titulares debido al incidente en curso de Kaseya, así como a otro ataque reciente a la empresa global de procesamiento de carne JBS. Este grupo ha estado particularmente activo en 2020-2021.
El sitio web HappyBlog de REvil muestra una demanda de rescate de 70 millones de dólares. Autor proporcionado
En abril, REvil robó datos técnicos sobre productos Apple inéditos de Quanta Computer, una empresa taiwanesa que ensambla computadoras portátiles Apple. Se exigió un rescate de 50 millones de dólares para evitar la divulgación pública de los datos robados. No se ha revelado si este dinero se pagó o no.
Clop
El ransomware Clop fue creado en 2019 por un grupo con motivación financiera responsable de generar 500 millones de dólares estadounidenses.
La especialidad del grupo Clop es la “doble extorsión”. Esto implica apuntar a organizaciones con dinero de rescate a cambio de una clave de descifrado que restaurará el acceso de la organización a los datos robados. Sin embargo, los objetivos tendrán que pagar un rescate adicional para que los datos no se publiquen.
Los ejemplos históricos revelan que las organizaciones que pagan un rescate una vez tienen más probabilidades de pagar de nuevo en el futuro. Por lo tanto, los piratas informáticos tenderán a apuntar a las mismas organizaciones una y otra vez, pidiendo más dinero cada vez.
Sitio web de ClopLeaks que muestra archivos de rescate directamente descargables. Autor proporcionado
Ejército Electrónico Sirio
Lejos de ser una pandilla típica de delitos informáticos, el Ejército Electrónico de Siria ha estado lanzando ataques en línea desde 2011 para promover la propaganda política. Con este motivo, se les ha denominado grupo hactivista.
Si bien el grupo tiene vínculos con el régimen de Bashar al-Assad, es más probable que esté compuesto por vigilantes en línea que intentan ser auxiliares de medios del ejército sirio.
Su técnica consiste en distribuir noticias falsas a través de fuentes acreditadas. En 2013, un solo tweet enviado por ellos desde la cuenta oficial de Associated Press, la agencia de noticias líder en el mundo, tuvo el efecto de borrar miles de millones del mercado de valores.
El falso tuit de AP del Ejército Electrónico Sirio. www.theatlantic.com/
El Ejército Electrónico Sirio explota el hecho de que la mayoría de las personas en línea tienden a interpretar y reaccionar ante el contenido con un sentido implícito de confianza. Y son un excelente ejemplo de cómo los límites entre el crimen y los grupos terroristas en línea son menos distintos que en el mundo físico.
FIN7
Si esta lista pudiera contener un “supervillano”, sería FIN7. Otro grupo con sede en Rusia, FIN7, es posiblemente la organización criminal en línea más exitosa de todos los tiempos. En funcionamiento desde 2012, funciona principalmente como negocio.
Muchas de sus operaciones no han sido detectadas durante años. Sus violaciones de datos han explotado escenarios de ataques cruzados, en los que la violación de datos sirve para múltiples propósitos. Por ejemplo, puede permitir la extorsión a través de un rescate y al mismo tiempo permitir que el atacante use datos contra las víctimas, como revenderlos a un tercero.
A principios de 2017, se alegó que FIN7 estaba detrás de un ataque dirigido a empresas que presentaban documentos a la Comisión de Bolsa y Seguridad de EE. UU. Esta información confidencial fue explotada y utilizada para obtener un rescate que luego se invirtió en la bolsa de valores.
Como tal, los grupos ganaron enormes sumas de dinero comerciando con información confidencial. El esquema de uso de información privilegiada facilitado por la piratería se prolongó durante muchos años, por lo que no es posible cuantificar la cantidad exacta de daño económico. Pero se estima en más de mil millones de dólares.
Crimen organizado vs delincuentes organizados
Cuando se trata de organizaciones criminales complejas, las técnicas evolucionan y los motivos varían.
La forma en que se organizan y cometen delitos en línea es muy diferente a la de su pandilla local fuera de línea. El ransomware se puede lanzar desde cualquier parte del mundo, por lo que es muy difícil enjuiciar a estos delincuentes. Las cosas se complican aún más cuando varias partes se coordinan a través de las fronteras.
No es de extrañar que el desafío para los organismos encargados de hacer cumplir la ley sea significativo. Es fundamental que las autoridades que investigan un ataque estén seguras de que realmente fue perpetrado por quienes sospechan. Pero para saber esto, necesitan toda la ayuda que puedan obtener.
