Hasta los momentos, el ransomware se había dirigido indistintamente a usuarios privados y empresas. De hecho, uno de sus modos de distribución es en campañas de spam masivas, así que la víctima se da completamente al azar, y, por tanto, también la recompensa. Sin embargo, parece que varios grupos de hackers han decidido no dejar este factor a la suerte.
Así lo reveló hace poco la compañía de ciberseguridad Kaspersky Lab, que identificó al menos a 8 grupos de hackers que se han dedicado a atacar sobre todo grandes empresas, y en especial del sector financiero; en ocasiones solicitando recompensas que traspasan los 500.000 dólares.
Esta nueva tendencia no resulta demasiado sorprendente, dado que, con anterioridad, tanto IBM como la compañía Citrix revelaron en sus estudios que son, de hecho, las grandes empresas las que están más dispuestas a pagar por su valiosa información en caso de que esta sea encriptada o robada. En Kaspersky también concuerdan con ello afirmando que la razón de estos ataques dirigidos es clara, pues los hackers los han encontrado mucho más rentables.
De los grupos identificados seis aún no tienen un nombre específico, mientras que otros dos provienen de tipos de ransomwares ya destacados antes: el Petya y el Mamba, que además de secuestrar los archivos personales, también cifran los que son necesarios para correr el sistema operativo, dejando inutilizado el computador.
Sin embargo, en esta ‘versión corporativa’ el Petya no es exactamente el mismo y tampoco proviene de los mismos hackers: se trata del PetrWrap, una versión modificada a partir del código robado del Petya por otros cibercriminales. La competencia en esta industria se está haciendo tan fuerte, que inclusive ya se dan casos como este. El Petya es uno de los tipos de ransomware como servicio (RaaS) que se vende para otros hackers en la Internet Profunda, por supuesto, aplicando a su código ciertas restricciones en cuanto al pago y asegurándose de recibir una comisión. Pues bien, tal parece que el equipo del nuevo PetrWrap logró burlar esas restricciones y literalmente robarse el código para su propio uso en ataques dirigidos contra organizaciones, que pueden llegar a durar hasta 6 meses.
Por otro lado, el Mamba utiliza su propia herramienta para cifrar el disco duro, llamada DiskCryptor. Y una vez que logran entrar en una red o servidor vulnerable, lo instalan mediante el RDP (Remote Desktop Protocol), una función de Windows para controlar los equipos a distancia, de modo que no sea detectado por las barreras de seguridad.
Por lo demás, el modus operandi de estos grupos es muy semejante: una vez escogida la empresa, buscan servidores con seguridad débil o se dedican a enviar correo phishing (falso) con links y adjuntos que contienen el virus.
Anton Ivanov, investigador superior de seguridad en Kaspersky, comentó al respecto:
Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando, trayendo pérdidas financieras tangibles. La tendencia es alarmante a medida que los actores de ransomware comienzan su cruzada para encontrar víctimas nuevas y más rentables. Hay muchos más objetivos potenciales de ransomware ahí afuera, con ataques que resultan en consecuencias aún más desastrosas.
Anton Ivanov
Investigador Superior de Seguridad
Para protegerse de estos ataques, desde Kaspersky recomiendan seguir las indicaciones tradicionales: respaldar todos los datos fuera de línea, utilizar una buena solución de seguridad digital, entrenar a los trabajadores y auditar la red y todo el software instalado. Además, también instan a visitar su iniciativa conjunta No More Ransom, donde pueden encontrarse de forma gratuita varias herramientas de descifrado para numerosos tipos de ransomware.