Latinoamérica. La desaparición de los grupos de ransomware con trayectoria, como Conti y REvil, ha impulsado en América Latina que surjan nuevas y pequeñas bandas de ciberdelincuentes, que buscan negociar el pago de rescates por ataques de tipo ransomware.
De acuerdo con Akamai, estos grupos emergentes emplean en sus equipos habilidades especializadas para la negociación, así como una investigación sobre los puntos más importantes para una compañía y cómo atacarlos, “de tal forma que la organización se vea imposibilitada de operar y obligada a pagar el rescate”.
La compañía también asegura que el rápido aumento del modelo de negocio del Ransomware como Servicio (RaaS) en América Latina ha dado lugar a la aparición de los mencionados grupos , a la vez que se experimentra el declive de los grandes grupos de ciberdelincuentes. “En esta región esta actividad ya opera bajo nuevas estructuras y perfiles que imitan a las corporaciones con el objetivo de continuar fortaleciendo sus operaciones delictivas” al tiempo que representa un reto para los analistas de inteligencia de amenazas.
Oswaldo Palacios, Senior Account Executive para Akamai, destacó que la desaparición de los grupos de ransomware como Conti y REvil han impulsado la aparición de bandas más pequeñas. De hecho, en América Latina, los pequeños grupos que apuestan por el ransomware como servicio están enfocados principalmente a atacar a empresas de gobierno o de la iniciativa privada de esta región.
“Los grupos de RaaS se están volviendo más organizados y eficientes. En la actualidad cuentan con varios departamentos encargados de la administración, finanzas, recursos humanos y a la par con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección. Cada etapa del ataque cuenta con personas que actúan como los responsables o como gerentes y están apareciendo nuevos roles, como los de los negociadores de ransomware”.
Akamai indico que en un ataque de ransomware participan desarrolladores (20 %), intermediarios (brokers) de acceso inicial (10 %), responsables de hacer pentesting (10 %), negociadores (10 %) y afiliados (50 %).
Finalmente, la marca asegura que el Ransomware como Servicio funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido. De ahí que en este ecosistema cobre relevancia el pago del rescate.
Sin embargo, el experto de Akamai, Oswaldo Palacios, recomendó a las organizaciones no realizar el pago por un rescate de ransomware, ya que el hacerlo no garantiza recuperar la información ni la operación de la compañía.
“Siempre será mejor emprender una estrategia de prevención, la microsegmentación, por ejemplo, se está convirtiendo en una herramienta cada vez más importante para los equipos de TI que se enfrentan al reto de mantener las políticas de seguridad y el cumplimiento en consonancia con el rápido ritmo de cambio de los centros de datos dinámicos, y los entornos de nube y de nube híbrida actuales”.
