Hechos clave:
-
El Departamento del Tesoro cree que los pagos financian actos adversos a la seguridad nacional.
-
El FBI informó que los hackers han recibido USD 140 millones en bitcoin en los últimos 6 años.
El Departamento del Tesoro de Estados Unidos advirtió que las víctimas de ataques de ransomware que paguen para liberarse del secuestro, podrían enfrentar duras sanciones. También señaló que estarán sujetas a multas, las empresas que respalden los pagos, si los delincuentes que se benefician ya están sujetos a sanciones económicas.
En su aviso, la Oficina de Control de Activos Extranjeros (OFAC) dijo que las empresas que facilitan los pagos de ransomware a los ciberdelincuentes en nombre de las víctimas, incluidas las instituciones financieras y las empresas de seguros cibernéticos, no solo fomentan futuras demandas de pago de ransomware, sino que también corren el riesgo de violar las regulaciones de la OFAC. Sin embargo, el documento no aclara si estas sanciones solo serán aplicables cuando los hechos ocurran en territorio estadounidense.
El comunicado considera a los pagos de ransomware como un estímulo para que los delincuentes participen en futuros ataques y aclara que pagar un rescate no garantizará que la víctima recupere el acceso a sus datos robados.
La OFAC añade que, ante estas violaciones, podría imponer sanciones civiles basadas en la responsabilidad estricta, es decir, incluso si la persona que realiza el pago no sabía que el atacante estaba incluido en el programa de sanciones del país o lista negra. Sin embargo, el Departamento del Tesoro aclaró que la decisión de una organización de notificar y cooperar con las fuerzas del orden después de un ataque de ransomware podría servir como factor atenuante en caso de que involucren un nexo de sanciones.
El ransomware ataca a Estados Unidos
La advertencia de la OFAC se produce después que el agente especial del FBI, Joel DeCapua dijera en la Conferencia RSA, celebrada en febrero pasado, que las víctimas de ransomware han pagado a los delincuentes más de 140 millones de dólares en bitcoin durante los últimos seis años y medio.
Como respuesta a los casos de ransomware que se han disparado en los últimos años, el Departamento del Tesoro ha impuesto sanciones económicas a varios ciberdelincuentes, congelando todos los bienes de estas personas en Estados Unidos y prohibiendo a los estadounidenses hacer negocios con estos actores. En esta llamada lista negra figuran varios operadores de ransomware vinculados con Irán, Corea del Norte y Rusia.
Entre los hackers que aparecen en la de sancionados, está Evgeniy Mikhailovich Bogachev, el creador de Cryptolocker, un ransomware que en 2013 logró infectar a más de la mitad de las computadoras que había en Estados Unidos. También, están dos iraníes que en 2015 atacaron a varias instituciones y empresas del gobierno de EE. UU, utilizando para ello, el ransomware SamSam.
En la lista negra, también destacan grupos de ciberdelincuentes como Evil Corp de Rusia y su líder, Maksim Yakubets creadores de la familia de malware Dridex. Igualmente, está el Grupo Lazarus que con sus dos subgrupos, Bluenoroff y Andariel estan respaldados por Corea del Norte. A Lazarus se le conoce por atacar con el virus WannaCry 2.0 que en 2017 infectó a más de 300 mil computadoras en al menos 150 países.
La OFAC dijo que continuará agregando más actores a su programa de sanciones en el futuro, tan pronto como compruebe que ayudan, patrocinan o brindan apoyo financiero, material o tecnológico a quienes realizan ataques de ransomware.
Entre las víctimas de ransomware que podrían ser sancionadas está Garmin, el fabricante de relojes deportivos que en julio pasado fue víctima de una extorsión vinculada con Evil Corp. La sanción o no, en este caso, depende de que las investigaciones comprueben si la empresa pagó el rescate solicitado por los hackers para liberar su sistema, tal como lo informó CriptoNoticias en su momento.
¿Qué es un ataque de ransonware?
Según el glosario de términos de CriptoNoticias un ataque de ransomware consiste en un programa malicioso que, tras instalarse sin permiso en el computador o dispositivo móvil, cifra la mayor parte de los archivos o todo el disco duro, volviéndolo inaccesible para el usuario. A cambio de descifrar de nuevo los datos secuestrados, los hackers solicitan un rescate (pago), usualmente en criptomonedas, cuya cantidad depende de la víctima afectada.
Un ataque de ransomware se produce de múltiples maneras, pero el agente del FBI, DeCapua, dijo que el Protocolo de escritorio remoto (RDP) representa el punto de partida en el 80% de los casos. En su mayoría, esto se realiza mediante tácticas de fuerza bruta, es decir, el uso de herramientas automatizadas para probar múltiples contraseñas hasta que una funciona.
«Es fuerza bruta porque hay contraseñas realmente muy malas o simplemente hay contraseñas complejas que se reutilizan en todas partes y terminan en alguna lista de descifrado de contraseñas», señaló DeCapua. Agregó que el segundo método más utilizado para perpetrar los ataques de ransomware, es el phishing.
El phishing es un método que adjunta archivos en un correo electrónico que llega a la víctima. El atacante generalmente se vale del engaño para que la persona objetivo se sienta en confianza y pulse en el archivo que posteriormente se descarga y toma el control de la computadora y servidores. Otros tipos de ransomware más agresivos, como NotPetya, aprovechan los agujeros de seguridad para infectar computadoras sin necesidad de engañar a los usuarios.
Hay varias cosas que el malware puede hacer una vez que se ha apoderado de la computadora de la víctima, pero la acción más común es cifrar algunos o todos los archivos del usuario. Estos archivos no se podrán descifrar sin una clave matemática conocida solo por el atacante. Al usuario se le presenta un mensaje que explica que no tiene acceso a sus propios archivos, los cuales solo se descifrarán si la víctima envía un pago en Bitcoin a su atacante.
¿Cómo prevenir el ransomware?
Hay una serie de medidas defensivas que se pueden tomar para prevenir la infección por ransomware. Mantener buenas prácticas de seguridad mejora las defensas contra todo tipo de ataques. Sin embargo, para prevenir, DeCapua recomendó no usar contraseñas legibles por humanos.
«Si puede decirle su contraseña a otra persona en menos de 30 segundos, probablemente no sea una contraseña segura», dijo DeCapua. El agente agregó que las empresas deberían tener un plan sobre qué hacer si son atacadas con ransomware y también tener una copia de seguridad de sus archivos, sin conexión.
Como medida de prevención también se recomienda no instalar software ni otorgar privilegios administrativos a ningún software, sobre todo si no se sabe qué es, ni qué hace. Instalar antivirus que detecten programas maliciosos, y software de listas blancas que eviten que se ejecuten las aplicaciones no autorizadas, es otra de las recomendaciones.
