Por Hannah Pérez  

Proveedores de ciberseguridad admiten que le pagan a los hackers para recuperar los datos secuestrados por ataques de ransomware. El estudio encontró que la principal criptomoneda entre estos atacantes es Bitcoin.

***

Un estudio de ProPublica encontró que la mayoría de las compañías proveedoras de soluciones de ransomware les pagan a los hackers para deshacerse de ellos.

Un ransomware o “secuestro de datos“, es un tipo de programa maligno que restringe el acceso a determinadas partes o archivos del sistema operativo infectado. A cambio de quitar esta restricción, el atacante o hacker solicita una recompensa al usuario.?

Recientemente, los expertos en seguridad de Coveware señalaron que la actividad de ransomware crece semanalmente. Como resultado, las compañías, que sólo quieren seguir adelante, terminan por pagar el rescate de sus datos.

Según Coveware, los ataques de ransomware aumentaron en el primer trimestre de 2019:

En el primer trimestre de 2019, el rescate promedio aumentó en un 89%, a USD $12.762, en comparación con USD $6.733 en el cuarto trimestre de 2018. El aumento del rescate refleja el aumento de las infecciones de los tipos de ransomware más costosos como Ryuk, Bitpaymer e Iencrypt. Estos tipos de ransomware se utilizan predominantemente en ataques dirigidos a objetivos específicos de empresas más grandes.

Fraude de las empresas de ciberseguridad

Sin embargo, una vez que los hackers encriptan un equipo infectado, la verdadera pregunta es cómo desbloquear los datos. ProPublica descubrió que muchas empresas de recuperación de datos simplemente pagan el rescate y luego cobran una prima por “las molestias causadas“. Es decir, estas empresas cobran por aplicar “tecnología de primera” para desencriptar los datos, pero en realidad solo pagan al atacante para obtenerlos.

Un ejemplo de esto es Proven Data, que prometió ayudar a las víctimas de ransomware desbloqueando sus datos con la “última tecnología“, según los correos electrónicos de la empresa y sus antiguos clientes. En cambio, según Storfer y una declaración jurada del FBI obtenida por ProPublica, obtuvo herramientas de descifrado de los ciberataque pagando rescates.

Otra empresa estadounidense, MonsterCloud, con sede en Florida, también profesa utilizar sus propios métodos de recuperación de datos. Sin embargo, en su lugar, paga los rescates. De acuerdo con ProPublica, a veces la empresa ni siquiera informa a las víctimas, entre las que se cuentan agencias policiales locales.

Ambas empresas, además, tienen otras características en común. Primero, ambas cobran a las víctimas honorarios sustanciales adicionales a la cantidad que pagan por el rescate. También ofrecen otros servicios, como el “sellado de brechas para proteger contra futuros ataques“. Asimismo, ambas empresas han utilizado pseudónimos para sus trabajadores, en lugar de nombres reales, para comunicarse con las víctimas.

El Ransomware está empeorando

Después de que la Fiscalía General de los Estados Unidos rastreara y acusara a dos hackers iraníes por liberar un programa de rescate llamado SamSam, las autoridades esperaban que la prevalencia de los ataques disminuyera. En cambio, aumentó considerablemente, superando los niveles de 2018 considerablemente.

Muchos creen que la razón es porque el software de rescate es muy lucrativo. Los hackers pueden lanzar un ataque y luego, cuando las víctimas lo descubren, negocian brevemente con empresas como MonsterCloud y otras para desbloquear los ordenadores. Sin embargo, muchas de estas compañías ofrecen métodos de recuperación y muchos investigadores de seguridad trabajan en métodos gratuitos. Por ejemplo, muchos han generado soluciones para uno de los ransomware más popular: WannaCry, que afecta al sistema operativo Windows .

Desafortunadamente, los hacks están empeorando y el software necesario se está volviendo más complejo.

La empresa de soluciones, Coveware admite abiertamente que negocia con estafadores. Para ellos, el pago de la recompensa es uno de los métodos más sencillos para recuperar datos. Sin embargo, lo preocupante es que estos esfuerzos están financiando inadvertidamente el terrorismo. Además, según señalan, cada vez es más difícil descifrar los ordenadores pirateados, gracias a las nuevas versiones del ransomware. Por lo que el tiempo de inactividad se ha incrementado.

De acuerdo con un estudio de Coveware, en el primer trimestre de 2019 el “tiempo medio de inactividad aumentó, de 6,2 días en el cuarto trimestre de 2018, a 7,3 días“.

Pérdidas significativas

Para cualquier gran empresa el tiempo de inactividad puede ser crucial. Además de que el tiempo de inactividad se incrementa, también hay que considerar que en muchos casos los ransomware tienen unas tasas de pérdida de datos relativamente altas. Entre 10-20% para las variaciones del tipo de ransomware Hermes, por ejemplo.

El aumento del tiempo de inactividad también responde a la frecuencia de los ataques. En muchos casos, los sistemas de copia de seguridad se borran o cifran como parte del ataque. Una característica que indica que la naturaleza de estos ataques es cada vez más personalizada.

Mientras tanto, los costos estimados de pérdida de una empresa por el tiempo de inactividad por cada ataque de rescate también ascendieron. En promedio, las empresas pueden perder USD $ 65.645 por el tiempo de inactividad de un ataque.

Los costos de los tiempos de inactividad se vuelven particularmente agudos para las compañías que carecen de seguro cibernético y/o de seguro de interrupción de negocios. Sin embargo Coveware admite que estas estimaciones tienen muchas variables como el rubro de la empresa y su ubicación geográfica, por lo que sus estimaciones pueden no ser precisas.

Bitcoin es la principal en el pago de ransomware

En su estudio, Coveware también descubrió que Bitcoin sigue siendo la criptomoneda más común para los pagos de rescate de datos secuestrados. Asimismo, para las víctimas generalmente el pago con criptomonedas genera conflictos, y por lo tanto, también para los atacantes.

Para muchos usuarios, estos métodos de pago son peligrosos y existen quienes piensan que se tratan de grupos terroristas. En opinión del CEO de Coveware, Bill Siegel, la recuperación media en los casos de ransomware no es realmente una negociación con “terroristas“. La empresa incluso, con el tiempo, ha logrado desarrollar tácticas rescate en base a los “patrones” de ataques y los perfiles de los atacantes. Esto en función de desarrollar estrategias de negociación en nombre de sus clientes.

En cuanto a las criptomonedas, opinión del grupo, es poco probable que los hackers de ransomware cambien a Bitcoin en un futuro cercano. En especial porque han ganado terreno en perfeccionar las técnicas con las que adquieren y manejan esta moneda. Esto se pone de manifiesto por la facilidad con la que los actores de la amenaza “mezclanBitcoin o cambian la criptomoneda por otras monedas de privacidad, como Dash o Monero.

Un tipo de cibersecuestro popular conocido como Gandcrab acepta pagos en Dash o Bitcoin, asegura Coveware. Sin embargo, a las víctimas de este ransomware que pagan con Bitcoin se les cobra un 10% más debido a los costes de “mezcla” en los que incurren los actores de la amenaza para anonimizar los bitcoins después del pago. Esto incluye “esconder” los bitcoins transfiriéndolos a diferentes billeteras y cambiándolos por otras monedas hasta que la los bitcoins iniciales resulten irrastreables.

Si bien el envío de unos cuantos miles de bitcoins a una dirección extraña podría no encajar bien con muchas víctimas, sigue pareciendo la mejor manera de reducir los tiempos de inactividad. Después de todo, implica un gasto a la empresa y es culpa de los proveedores de ciberseguridad el detectar el ransomware en primer lugar. Su tarea es finalmente proteger y prevenir contra estos ataques y no dejar los datos a vulnerabilidad de atacantes.

?

Fuentes: Coindesk, Coveware

Versión y traducción de Hannah Estefanía Pérez / DiarioBitcoin 

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.