-
Los ataques se han vuelto más sofisticados y enfocados a obtener mayores ganancias económicas.
-
La Europol señala que los ciberataques a través de la minería de criptomonedas han disminuido.
A pesar de que las tasas de ataques con software de rescate están disminuyendo, Europol dice en su informe anual que el ransomware no solo continúa creciendo, sino que ahora es ahora más selectivo, más rentable para la ciberdelincuencia y causa más daño económico. Hasta ahora más de 25 tipos de estas amenazas han sido identificadas, incluyendo variantes como GandCrab, Locky, Dharma y Curve-Tor-Bitcoin-Locker.os
En el informe anual sobre ciberdelincuencia, publicado bajo el título de Evaluación Organizada de la Amenaza del Crimen por Internet (IOCTA), la Oficina Europea de Policía (Europol) señala que los ciberdelincuentes se están volviendo más eficientes, seleccionando y eligiendo sus objetivos con la idea de causar la mayor cantidad de daño posible a las organizaciones. El objetivo es exigir rescates mucho más altos. Para enfatizar esto, aunque sin proporcionar ejemplos específicos, el informe detalla que, en algunos casos, el rescate exigido supera el millón de euros.
El ransomware bloquea y encripta notablemente los sistemas y archivos infectados con la promesa de devolver la funcionalidad una vez que se paga una cuota, generalmente solicitada en criptomonedas.
Se considera que el aumento de la concienciación de los consumidores y las iniciativas en contra del malware, incluido el proyecto No more ransom (No más rescates), son las razones de la caída del enfoque disperso para las infecciones por ransomware que ahora se han refinado.
Los protocolos de escritorio remoto y la suplantación de identidad (phishing) siguen siendo vectores clave de infección, como se citó en la IOCTA del año pasado. La amenaza de sabotaje y la pérdida o el borrado permanente de datos de la compañía son otros factores de alerta, según sugiere también el informe de 2019.
Una variante de esta forma de ataque surgió a principios de este año. Llamado GermanWiper, el ransomware golpeó a organizaciones de toda Alemania con ataques que no cifraron los archivos, sino que los reescribieron para destruirlos. En última instancia, esto significaba que incluso si un usuario pagaba el rescate, no recuperaría sus archivos, a menos que tuviera copias de seguridad fuera de línea.
A menudo, los atacantes que impulsan el software de rescate lo hacen a través de vulnerabilidades conocidas para las que los proveedores ya han publicado actualizaciones de seguridad. Por ello, Europol subraya la importancia de la aplicación de parches, especialmente cuando se trata de vulnerabilidades críticas.
Los investigadores citaron más de 25 familias de programas de rescate identificables individualmente, dirigidos a ciudadanos y entidades privadas y públicas de Europa. Varios de ellos ocuparon un lugar más destacado en los informes de las fuerzas del orden, incluidas las diversas versiones de Dharma/ CrySiS, ACCDFISA, GlobeImposter y Rapid, además de GandCrab, Locky, y Curve-Tor-Bitcoin-Locker.
El informe agrega que casi un millón de dispositivos aún no han sido parcheados contra la poderosa BlueKeep, una vulnerabilidad de seguridad en RDS (servicios de escritorio remoto), lo cual deja a las redes abiertas a ataques.
BlueKeep es peligrosa porque, de ser explotada, permitiría que una amenaza se propague hacia otras computadoras vulnerables (característica de los gusanos informáticos) de manera similar a la forma en cual se propagó el famoso y dañino ransomware WannaCry en 2017
El mensaje de Europol es claro: los programas de rescate y otros ciberataques no desaparecerán pronto, especialmente si los ciberdelincuentes son capaces de aprovechar las vulnerabilidades conocidas y los viejos ataques.
«La IOCTA de este año demuestra que, si bien debemos mirar hacia adelante para anticiparnos a los retos que pueden plantear las nuevas tecnologías, la legislación y la innovación criminal, no debemos olvidarnos de mirar hacia atrás. Las vulnerabilidades de los procesos y tecnologías establecidos siguen planteando nuevas amenazas. Además, la longevidad de las amenazas cibernéticas es evidente, ya que, a pesar de nuestros mejores esfuerzos, persisten muchos modus operandi establecidos desde hace mucho tiempo. Algunas amenazas de ayer siguen siendo relevantes hoy y seguirán siendo un reto mañana.
Catherine De Bolle, directora ejecutiva de Europol.
Malware minero, una amenaza latente
Hay una amenaza que parece haber caído casi fuera del radar, en comparación con su posición en el informe del año pasado: el malware minero. La IOCTA 2019 advirtió sobre el malware para minería de criptomonedas, incluso sugiriendo que puede superar al ransomware como una amenaza futura.
Sin embargo, aunque todavía se producen ataques de malware mineros, el número ha disminuido, especialmente desde el cierre de Coinhive en marzo de este año. Ahora, aparte de casos excepcionales, esta modalidad de ciberataques se describen en el informe como una amenaza de baja prioridad para las fuerzas de seguridad de la Unión Europea, que avanza a medida que se combaten otras amenazas actuales y futuras.
A medida que los delincuentes se adaptan, las fuerzas del orden y los legisladores también deben innovar para mantenerse a la cabeza y tratar de aprovechar las tecnologías nuevas y en desarrollo. Esto, a su vez, requiere formación para producir las capacidades especializadas necesarias para investigar ciberdelitos técnicamente complejos o difíciles, como los que implican el uso indebido de criptomonedas o de la red oscura.
Catherine De Bolle, directora ejecutiva de Europol
No más rescates
El informe incluye una imagen que destaca los esfuerzos realizados a través de la iniciativa de la Europol No more ransom, la cual cumplió tres años. En este período ha ayudado a más de 200.000 víctimas de ransomware a recuperar sus archivos, sin pago de rescates.
La iniciativa, en la que participa España y Brasil, entró en funcionamiento en julio de 2016 de la mano de la policía neerlandesa y la Europol, así como de la empresa McAfee. «No más rescates» es la primera asociación pública-privada de esta naturaleza, que tiene como objetivo ayudar a las víctimas de ransomware para recuperar su información, cifrada por la actuación del malware, sin tener que pagar a los ciberdelincuentes.
Un total de 151 socios, entre ellos fuerzas del orden como la Europol y la Guardia Civil, cinco agencias de la Unión Europea y 101 entidades públicas y privadas se han sumado a esta programa desde 2016. Esto ha evitado que unos beneficios, que se calculan podrían alcanzar los 108 millones de dólares estadounidenses, acabasen sumando las cifras alcanzadas por los delincuentes.
Con 14 nuevas herramientas que se han incorporado en 2019, el programa puede descifrar 109 tipos distintos de infecciones de ransomware, aunque esta cifra crece cada mes, de acuerdo a lo señalado en el informe de la Europol.
