Las mafias de ransomware están creando nuevas páginas para captar clientes que les encarguen ataques y reclutar nuevos ciberdelincuentes

EEUU se ha puesto en serio contra las mafias de ciberdelincuentes que operan los códigos maliciosos conocidos como ransomware. Este tipo de ciberataques, que este mismo mes ha afectado al Ministerio de Trabajo español, penetran en los sistemas informáticos de sus víctimas con el objetivo de cifrar todos sus archivos y dejar los equipos inutilizables. 

Además, desde 2020 muchos de estos ataques también roban informaciones sensibles para extorsionar a sus objetivos: si no pagan un rescate económico en criptomonedas, no podrán volver a usar la información y se filtrará por internet.

Después de que un ransomware impactase sobre la infraestructura informática de Colonial Pipelines, una empresa que controla uno de los mayores oleoductos de la costa este de EEUU, las autoridades norteamericanas lograron un hito en ciberseguridad: recuperaron parte del rescate de 4,4 millones de dólares que la firma se vio obligada a pagar. El incidente dejó el oleoducto bloqueado y obligó a la Administración Biden a decretar el estado de emergencia en buena parte del país.

El Ministerio de Trabajo gasta más de 400.000 euros para reaccionar al ciberataque que sufrió este mes

La mafia de criminales que reivindicó el ataque anunció poco después que cesaban sus operaciones. Junto con ella, otros colectivos del estilo han paralizado sus operaciones en los últimos meses. No obstante, sus estragos continúan, y el problema podría seguir yendo a más.

Bleeping Computer, un medio especializado en ciberseguridad, informa en este artículo que varios colectivos de criminales informáticos están lanzando nuevas páginas web con la mera intención de captar nuevos clientes. Muchos de los desarrolladores de ransomware no propician sus ataques por sí solos, sino que aceptan encargos de terceros. Es un fenómeno conocido como Ransomware as a Service (RaaS, ransomware como servicio en español).

Mediante esta fórmula, los desarrolladores atacan al objetivo que seleccione su cliente, y después ven sus esfuerzos remunerados con un porcentaje del botín (generalmente, el rescate que pague la víctima, aunque en otras ocasiones algunas de estas mafias han celebrado subastas en la dark net con la información robada durante el incidente).

El lanzamiento de estas nuevas páginas coincide con el hecho de que varios foros de habla rusa han decidido prohibir y perseguir los comentarios y transacciones que se realizan en sus comunidades relacionadas con ransomware. Bleeping Computer destaca que al menos dos de estas mafias han lanzado dos nuevas páginas web, aunque su propósito no es solo captar clientes:

También quieren reclutar nuevos ciberdelincuentes.

Un "comportamiento extraño" en la red y más de 4 gigas de tráfico saliente: este escalofriante relato detalla cómo Quirón detectó y reaccionó ante un ciberataque con 'ransomware'

Para evidenciar cómo el crimen informático organizado se ha convertido en una auténtica industria, basta reseñar, como hace Bleeping Computer, cómo un colectivo que opera un ransomware llamado LockBit ha anunciado su nueva herramienta de ataques, "LockBit 2.0". Los delincuentes reivindican que su solución es "la más rápida del mundo" cifrando y robando archivos.

El citado medio reseña que uno de los responsables de LockBit propuso en un foro ruso crear un lugar de debate privado y seguro para tratar temas relacionados sobre ransomware, y si bien algún que otro usuario consideró que era una buena idea, también obtuvo respuestas muy contundentes: "El ransomware es hoy más perseguido que los terroristas del ISIS". El foro no quería ninguna atención no deseada.

Otro colectivo de ciberdelincuentes conocido como Himalaya, que comenzó sus actividades este mismo año, también ha lanzado una web en términos similares.

Una firma de ciberinteligencia llamada KELA detalla a Bleeping Computer que no es habitual ver a este tipo de colectivos intentando captar clientes de una forma tan indiscreta. Otra mafia que opera un ransomware conocido como REvil suele ser más disimulada, por ejemplo, desde que fueron expulsados de un foro de ciberdelincuentes a mediados de mayo. Desde entonces llevan sus operaciones en el ámbito más estrictamente privado.