Hechos clave:
-
70 a 80% de las ganancias se entregan a los encargados de ejecutar los ataques.
-
Los desarrolladores de malware fijan el monto del rescate y hacen el cobro.
De acuerdo a las declaraciones ofrecidas por un vocero de REvil, la banda de ransomware -también conocida como Sodinokibi- habría alcanzado ganancias por el orden de los USD 100 millones en lo que va de 2020.
En declaraciones ofrecidas al blog de tecnología Russian OSINT, uno de los operadores de REvil, identificado en foros de hackers como “UNKN” y “Unknown”, ofreció detalles sobre su modelo de negocio.
El vocero reveló que por lo general los desarrolladores del ransomware reciben entre 20 a 30% de las ganancias que obtienen por los pagos que hacen las víctimas para el rescate de sus datos. El resto del dinero se distribuye entre los afiliados, quienes se encargan de ejecutar los ataques, robar datos y detonar el malware en las redes corporativas.
De esta forma, según Unknown, la mayor parte del trabajo lo realizan los afiliados, y por ello reciben gran porcentaje de las ganancias. Sin embargo, son los desarrolladores los que se encargan de establecer el monto del rescate, llevar a cabo las negociaciones y cobrar el dinero que luego se divide con los afiliados.
Este esquema de trabajo de REvil, utilizado por la mayoría de las bandas de ransomware, se conoce como ransomware-as-a-service (RaaS). En este modelo «la mayor parte del trabajo lo realizan los distribuidores y el ransomware es solo una herramienta, por lo que es una división justa», dijo el representante de REvil.
En transcurso de este 2020 los hackers de REvil se han adjudicado los ataques a empresas como Grubman Shire Meiselas & Sacks (GSMLaw), bufete de abogados de algunos famosos; Brown-Forman, el fabricante del whiskey Jack Daniel’s; Adif, la agencia estatal que gestiona ferrocarriles de España; Telecom en Argentina; el banco mexicano CIBanco; y BancoEstado en Chile.
La lista de víctimas también incluye a la compañía para cambio de divisas Travelex; el proveedor de software SeaChange International, la empresa de inversión en bienes raíces CyrusOne; la tecnológica Artech Information Systems; el aeropuerto de Nueva York, Albany International Airport; y la automotriz GEDIA Automotive Group.
El vocero de REvil indica que en la mayoría de los casos lo que hacen es explotar las vulnerabilidades que encuentran en los sistemas de las empresas. También ejecutan ataques de fuerza bruta y utilizan el protocolo de escritorio remoto (RDP).
En su mayoría, los objetivos de REvil son los proveedores que ofrecen servicios de tecnología de la información (MSP), y empresas de los sectores de seguros, legal y agrícola. Aunque en sus declaraciones Unknown asegura que recientemente han llegado a la red de una importante empresa de juegos y que “pronto anunciarán el ataque”.
Filtración de datos y nuevas tácticas para obligar a pagar
Aunque el declarante del conocido ransomware no señala cuáles o cuántas de las empresas atacadas han realizado pagos por el rescate de sus datos, señala que una de cada tres víctimas está dispuesta a pagar para evitar la filtración de datos. Se refiere con ello a la nueva estrategia que vienen implementando los hackers desde finales de 2019, usada inicialmente por los operadores detrás del ransomware Maze.
La novedad en los ataques de ransomware perpetrados en 2020 es que, si no se recibe dinero por el rescate de los datos, los hackers hacen pública información confidencial de las empresas atacadas en sitios de la web oscura (darknet). El objetivo es presionar para que se vean forzadas a cancelar.
Al respecto, un informe de la firma Coveware estima que los pagos por ataques de ransomware durante los dos primeros trimestres de 2020 casi llegaron a los USD 300.000. La cifra supera con creces los USD 100.000 que se cobraron en 2019. El estudio ubica a REvil, Maze y Phobos entre los principales ejecutores de hacks de este año.
El método de filtración de datos parece ser lucrativo porque juega con el temor de las empresas a enfrentar sanciones regulatorias, daños a la reputación y acciones legales por la divulgación de información de terceros. La filtración de datos también puede afectar el precio de las acciones corporativas por la pérdida de propiedad intelectual.
REvil, que opera desde abril de 2019 y es el sucesor de GandCrab, comenzó a filtrar datos en 2020. Primero publicó los datos robados en un foro de piratas informáticos y luego lanzó un sitio dedicado a la filtración de datos llamado “Blog feliz”.
Según Unknown, REvil ahora gana más dinero por no publicar datos robados que por descifrar el secuestro. Agrega que otra táctica que piensan implementar son los ataques distribuidos de denegación de servicio (DDoS) para obligar a las víctimas a (re)comenzar sus sistemas informáticos o negociar un pago.
Recientemente la banda depositó un millón de dólares en bitcoins en un foro ruso a fin de atraer nuevos asociados para la distribución de malware. A pesar de su riqueza, los operadores de REvil no pueden salir de las fronteras de los países de la antigua Unión Soviética al ser blanco de investigaciones en agencias de aplicación de la ley en todo el mundo.
