Varias mafias de ransomware cesan su actividad, pero sus estragos continúan: "Da igual la cantidad de recursos que se inviertan, sus cifrados no se pueden romper"

La semana pasada el colectivo de ciberdelincuentes que operaba el ransomware Avaddon anunció su retirada. Eliminó todos sus perfiles en foros de hacking, borró todas sus páginas web alojadas en la dark net y remitió a Lawrence Abrams, el editor del medio especializado en ciberseguridad Bleeping Computer, una relación de 2.934 claves para revertir el cifrado que causaba su código dañino.

Cada una de esas claves son para cada una de las víctimas que Avaddon ha atacado en apenas un año: sus actuaciones arrancaron en verano de 2020 y el valor medio de los rescates que exigía ascendía a los 600.000 euros.

Los ransomware son códigos maliciosos cuyo fin último es asaltar las redes de sus víctimas, propagarse a través de los dispositivos de las mismas, y acabar cifrando los archivos de la organización a la que están atacando con el objeto de que sus sistemas informáticos queden prácticamente inutilizables. Las víctimas podrán recuperar la normalidad si pagan un rescate en criptomonedas para que los criminales les envíen la contraseña para descifrar sus archivos.

Pero desde 2020 se ha popularizado el fenómeno de la doble extorsión, por el cual los colectivos de ciberdelincuentes que operan estos ransomware roban información de las redes que atacan con el objetivo de subastar la información o extorsionar a la víctima para que pague sí o sí el rescate. Hace unas semanas, José Lancharo, director de la división Black Arrow de Tarlogic, advertía del fenómeno de la triple extorsión en Business Insider España: organizaciones que además de cifrar y robar, también atacan con denegación de servicios para hacer daño reputacional a la firma bajo ataque, que ve cómo sus plataformas para clientes y servicios web también quedan inutilizables en la red.

¿Qué ha pasado para que Avaddon haya anunciado su cese? No es el primero que lo hace. Recientemente fue el caso de Darkside, el colectivo de cibercriminales que asaltó a Colonial Pipelines, gestora de uno de los mayores oleoductos de EEUU. El incidente obligó a la Administración Biden a decretar el estado de emergencia y hubo problemas de suministro de combustible.

No se puede dar una respuesta contundente. Tras precisamente el ataque a Colonial, el Gobierno de Estados Unidos está priorizando este tipo de ciberataques. El cese de Avaddon podría responder a que ya han recaudado el suficiente colchón económico. Especialistas y negociadores con este tipo de criminales detectaron hace unas semanas la urgencia con las que los miembros de Avaddon estaban presionando a sus víctimas.

El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

Brett Callow es analista de ciberseguridad y trabaja en Emsisoft, una firma neozelandesa. "Las acciones recientes de los cuerpos policiales han hecho que muchos de estos actores maliciosos se pongan nerviosos", detallaba en declaraciones a Bleeping Computer. Tras el ataque de Colonial, el FBI logró recuperar parte del rescate que la empresa del oleoducto se vio obligada a pagar, un hito.

En declaraciones a Business Insider España, Callow espanta comentarios de agoreros que advierten que detrás de esta retirada, Avaddon podría estar sofisticando todavía más su código malicioso. "Parece el fin de Avaddon. Sin embargo, y desafortunadamente, los afiliados que usaban Avaddon para perpetrar sus ataques podrán seguir haciéndolos optando por otro proveedor".

Avaddon, igual que otros ransomware, funcionaba como un servicio. Ellos se encargaban de perpetrar el ataque y aportar toda la técnica que fuese necesaria. El encargo pagaba y luego el botín se repartía porcentualmente.

Una vez que Avaddon ha anunciado su retirada y filtrado las claves, Emsisoft ha desarrollado un descifrador gratuito que se puede descargar en su propia web. "Estas herramientas para descifrar se pueden crear en los casos en los que los criminales revelan sus propias claves, como ha ocurrido aquí, o cuando el encriptado no se ha implementado correctamente y se puede reventar".

Para la pandemia de la ciberdelincuencia todavía no hay vacuna: "Veremos menos ataques pero serán más peligrosos", adelantan algunos especialistas

Sin embargo, si el sistema de cifrado se ha implementado correctamente, "no se puede romper, da igual cuántos recursos se destinen". No es un problema de dinero: un ransomware bien hecho no se puede desactivar.

Aunque no había trascendido tanto en medios de comunicación españoles, Avaddon es un buen conocido de varias pymes españolas que sufrieron durante los últimos meses sus ataques. Solo a principios de abril, este grupo reivindicó ataques a una empresa ubicada en Madrid especializada en soluciones tecnológicas e inteligencia de negocios, a un proveedor de aires acondicionados y climatización de Leganés, y a un especialista en iluminación LED de Toledo.

También a un colegio privado de Madrid y a un centro de matemáticas del País Vasco. Quizá uno de sus mayores ataques fuese a finales del año pasado contra Quirón prevención, filial del grupo Quirón, ciberataque que ha sido recientemente detallado en la resolución de la Agencia Española de Protección de Datos sobre el incidente.

El movimiento de Avaddon llega justo después del de Darkside, el atacante de Colonial en EEUU, o de Maze. Efectivamente, desde el incidente con el oleoducto norteamericano, las administraciones públicas están poniendo énfasis en combatir el ransomwarey el FBI logró recuperar 2,2 millones de dólares de los 4,3 que Colonial pagó en criptomonedas como rescate.

En España se corre una suerte desigual, después de que hace unos días el Ministerio de Trabajo confirmase haber sufrido otro ataque de un ransomware conocido como Ryuk que también funciona como servicio para terceros delincuentes. 

90 días en alerta: los especialistas no descartan que el ciberataque al Ministerio de Trabajo sea un segundo golpe del que ya sufrió el SEPE

El incidente se produjo, además, exactamente 3 meses después del ciberataque que puso en jaque al SEPE, con lo que se barajan varias hipótesis: han 'contratado' a Ryuk para atacar a Trabajo por su 'buen hacer' en el anterior incidente, o directamente el ataque de junio ha sido reminiscencia de que el de marzo no se desactivó del todo.

A nivel global, la Europol mantiene activo un programa conocido como No More Ransom con el cual se reúne en un solo portal todas las herramientas para descifrar y revertir los efectos de un ransomware de forma gratuita. El propósito de las autoridades policiales es que las víctimas traten cualquier cosa antes que pagar el rescate. 

No More Ransom cumplirá cinco años el mes que viene, y en julio de 2020 la Europol abundaba en que se había conseguido evitar el pago de 632 millones de dólares en rescates.