zephyr_p - stock.adobe.com
Darkside, el ransomware que tiene al mundo en alerta
El ransomware Darkside, que funciona bajo la modalidad de ransomware como servicio (RaaS), es una de las principales amenazas para las organizaciones actualmente.
El pasado 7 de mayo de 2021, un ataque de ransomware vulneró a Colonial Pipeline, una de las compañías de oleoductos más importantes de Estados Unidos, provocando la interrupción del suministro de nafta, diesel y otros productos refinados para un tramo de aproximadamente 8.850 kilómetros. De acuerdo con el FBI, el responsable de este ataque es el ransomware Darkside.
¿Pero, qué es Darkside? Desde su aparición inicial en agosto de 2020, los creadores del ransomware Darkside y sus afiliados han lanzado una ola de delitos a nivel mundial que ha afectado a organizaciones en más de 15 países y múltiples industrias verticales. Como muchos de sus pares, estos ciberdelincuentes llevan a cabo una extorsión multifacética en la que los datos se exfiltran y cifran en su lugar, lo que les permite exigir el pago por el desbloqueo y la no divulgación de los datos robados para ejercer más presión sobre las víctimas.
El ransomware Darkside funciona bajo la modalidad de ransomware como servicio (RaaS), en el que las ganancias se comparten entre sus propietarios y socios, o afiliados, que brindan acceso a las organizaciones e implementan el ransomware. Estos grupos demostraron distintos niveles de sofisticación técnica a lo largo de las intrusiones. Si bien los ciberatacantes generalmente confiaban en herramientas legítimas y disponibles comercialmente para facilitar las diversas etapas de sus operaciones, al menos uno de los grupos de amenazas también empleó una vulnerabilidad de día cero ahora, al parecer, parchada.
Se ha identificado a múltiples víctimas de Darkside; la mayoría de las organizaciones tenían su sede en los Estados Unidos y abarcan múltiples sectores, incluidos servicios financieros, legales, manufactura, servicios profesionales, comercio minorista y tecnología. El número de víctimas nombradas públicamente en el blog del grupo cibercriminal Darkside ha aumentado en general desde agosto de 2020. El crecimiento en el número de víctimas demuestra el uso cada vez mayor del ransomware por parte de múltiples afiliados.
Malware disponible para delincuentes
A partir de noviembre de 2020, el ciberatacante ruso “darksupp” anunció Darkside RaaS en los foros rusos exploit.in y xss.is. En abril de 2021, darksupp publicó una actualización para el RaaS “Darkside 2.0”, que incluía varias características nuevas y una descripción de los tipos de socios y servicios que estaban buscando. Los afiliados retienen un porcentaje de la tarifa de rescate de cada víctima. Según los anuncios del foro, los operadores de RaaS toman el 25 % por tarifas de rescate de menos de $ 500,000 US dólares, pero esto se reduce al 10 % para tarifas de rescate superiores a $ 5 millones de US dólares.
Además de proporcionar compilaciones de ransomware Darkside, los operadores de este servicio también mantienen un blog accesible a través de TOR. El grupo cibercriminal utiliza este sitio para difundir quiénes son sus víctimas, en un intento por presionar a estas organizaciones para que paguen por la no divulgación de datos robados.
Una actualización reciente de un anuncio en un foro clandestino también indica que, con una funcionalidad del mismo kit de Darkside, los cibercriminales pueden intentar atacar a las organizaciones que han sido víctimas de ataques de denegación de servicios (DDoS). No obstante, darksupp ha declarado que los afiliados tienen prohibido apuntar a hospitales, escuelas, universidades, organizaciones sin fines de lucro y entidades del sector público.
Cómo funciona el programa de afiliados de Darkside
Los afiliados de Darkside RaaS deben pasar una entrevista, después de la cual se les proporciona acceso a un panel de administración. Dentro de este panel, los afiliados pueden realizar diversas acciones, como crear una compilación de ransomware, especificar contenido para el blog de Darkside, administrar víctimas y ponerse en contacto con el área de soporte técnico.
Los anuncios del grupo cibercriminal han tenido como objetivo encontrar proveedores de acceso inicial o ciberatacantes capaces de implementar ransomware en accesos ya obtenidos. Algunos ciberdelincuentes que afirman usar Darkside también se han asociado supuestamente con otros programas afiliados de RaaS, incluidos Babuk y Sodinokibi (también conocido como REvil).
Adicionalmente, los cibercriminales se han vuelto más competentes en la realización de operaciones de extorsión y este éxito ha contribuido directamente al rápido aumento en el número de incidentes de ransomware de alto impacto en los últimos años.
Los operadores de ransomware también han incorporado tácticas de extorsión adicionales diseñadas para aumentar la probabilidad de que las víctimas accedan a pagar los precios del rescate. Por ejemplo, a finales de abril de 2021, los operadores de Darkside publicaron un comunicado en el que indicaban que estarían vulnerando organizaciones que cotizaban en NASDAQ y otros mercados de valores. De esta forma, dieron a conocer que estarían dispuestos a brindar datos a los comerciantes de acciones sobre las próximas fugas de información, para permitirles posibles ganancias debido a las caídas del precio de las acciones después de una vulneración anunciada.
De acuerdo con las tendencias observadas, las tácticas de extorsión que utilizan los ciberdelincuentes para presionar a las víctimas continuarán evolucionando a lo largo de 2021.
Alerta de ransomware en México
Este tipo de ciberataques son cada vez más numerosos, sofisticados, peligrosos y masivos. De acuerdo con la unidad de investigación de SILIKN, en México, más de la mitad de las organizaciones privadas y públicas sufrieron un ataque de este tipo durante 2020. Se calcula que el año pasado se presentó un ataque de ransomware cada 14 segundos. Para inicios de 2021, se estima que estos ataques aparecerán cada 10 segundos.
En México, el costo promedio de remediación para las organizaciones por un ataque de ransomware es de $470 mil dólares, y si se paga el rescate, es de $940 mil dólares.
En 2020, el ransomware se dirigió principalmente al sector manufacturero, las organizaciones de atención médica y las empresas de construcción, y el rescate promedio alcanzó los $500 mil dólares, de acuerdo con datos de la unidad de investigación de SILIKN. En 2021, el ataque con mayor crecimiento en México será el ransomware y menos del 50 % de las organizaciones cuentan con personal capacitado para enfrentarlo.
Para prevenir un ataque de ransomware, les sugerimos:
- Actualizar sus sistemas constantemente. El software viene con vulnerabilidades y a los atacantes les encanta explotar las vulnerabilidades, por lo que su empresa debe tener una sólida política de administración de parches y actualizaciones. La aplicación de parches es una forma sencilla y eficaz de ayudar a defenderse del ransomware. Debe ser una rutina habitual y regular en la que las organizaciones actualicen con frecuencia y actualicen todo, desde computadoras portátiles y de escritorio hasta servidores, dispositivos móviles, sistemas operativos (Windows, macOS, Linux/Unix), seguridad de endpoints (software antivirus/antimalware), navegadores web, es decir, cualquier dispositivo y sistema conectado a la red
- Capacitación continua. Es real, los usuarios finales suelen ser los culpables de los ataques de ransomware. O son víctimas del phishing, de una suplantación de identidad maliciosa o de descargas no autorizadas en hacia sitios infectados. Las amenazas crecen a un ritmo exponencial, y si el personal de una empresa no recibe continuamente entrenamiento, información y capacitación sobre ciberseguridad, lo más probable es que falle en su intento por identificar y, por lo mismo, contener un ciberataque.
Si bien es alentador ver que cada vez más organizaciones exigen que sus empleados asistan a programas de capacitación sobre concientización sobre ciberseguridad, esto no significa necesariamente que todos retengan lo que han aprendido. Por lo tanto, la educación debe ser continua y fomentar la hipervigilancia hasta el punto en que se convierta en algo natural para los usuarios: buscar siempre señales de intenciones maliciosas y verificar las fuentes antes de hacer clic en enlaces o abrir archivos adjuntos de correo electrónico.
Sobre el autor: Víctor Ruiz es fundador de SILIKN y mentor del Centro de Ciberseguridad.