Conecta con nosotros

A Fondo

Más del 75% del ransomware cifrado procede del mercado clandestino de habla rusa

Publicado el

mercado clandestino de habla rusa

El ransomware cifrado,un tipo de malware que cifra los archivos de sus víctimas y solicita un rescate a cambio de recuperarlos, es uno de los tipos de malware más peligrosos en la actualidad. De acuerdo con la telemetría de Kaspersky Lab, en 2016 más de 1.445.000 usuarios (incluidas empresas) de todo el mundo fueron víctimas de este tipo de malware. Para entender mejor la naturaleza de estos ataques, los analistas de Kaspersky Lab han examinado el mercado sumergido de cibercriminales de habla rusa. Una de las principales conclusiones es que el incremento observado en estos últimos años en el ransomware cifrado es el resultado de un ecosistema clandestino muy flexible y atractivo, que permite a los criminales lanzar sus campañas sin necesidad de grandes conocimientos informáticos ni recursos financieros.

Los analistas de Kaspersky Lab han identificado tres niveles de participación delictiva en el negocio del ransomware:

  • Creación y puesta al día de nuevas familias de ransomware.
  • Desarrollo y soporte de un programa de afiliados de distribución de ransomware.
  • Participación como asociado en un programa de afiliados.

El primer nivel exige que un participante tenga conocimientos informáticos avanzados para escribir los códigos. Los cibercriminales que crean los primeros renglones del nuevo ransomware se colocan a la cabeza de este mundo clandestino, ya que son los creadores de los elementos clave del ecosistema.

En el segundo peldaño se sitúan los desarrolladores de los programas de afiliados, integrado por las comunidades de cibercriminales que, con la ayuda de diferentes herramientas, como el spam malicioso o los exploit kits, distribuyen el ransomware recibido de sus creadores.

Los socios del programa de afiliados se sitúan en el nivel más bajo del sistema. Utilizando diferentes técnicas, ayudan a los programas de afiliados a distribuir el malware a cambio de un porcentaje de los rescates pagados. Sólo con mostrar interés, voluntad de llevar a cabo acciones ilegales y el pago de un par de bitcoins, es suficiente para participar en un programa de afiliados.

De acuerdo a las estimaciones de Kaspersky Lab, los ingresos diarios de un programa de afiliados pueden llegar a alcanzar decenas, cientos o miles de dólares, de los cuales el 60% es el beneficio neto que se queda en los bolsillos de los cibercriminales.

Durante su análisis del ecosistema clandestino y de las múltiples operaciones de respuesta a incidentes, los analistas de Kaspersky Lab identificaron varios grupos de cibercriminales de habla rusa especializados en el desarrollo y distribución de ransomware cifrado. Estos grupos pueden llegar a agrupar decenas de participantes, cada uno con su propio programa de afiliados, y la lista de sus objetivos incluye no sólo a usuarios de internet, sino también pequeñas y medianas compañías, e incluso alguna de gran tamaño. Inicialmente con el objetivo puesto en usuarios y entidades rusas y de la Comunidad de Estados Independientes (CIS), estos grupos están virando su interés hacia compañías ubicadas en otras partes del planeta.

“Es difícil explicar por qué muchas de las familias de ransomware tienen un origen ruso, pero sí estamos observando que se está evolucionando desde grupos pequeños, con recursos y capacidades limitadas, a grandes empresas cibercriminales capaces de atacar objetivos más allá de Rusia. No es algo nuevo. Ya hemos visto el mismo recorrido en grupos de malware financiero, como Lurk. Primero empezaron con ataques masivos a usuarios de banca online para luego evolucionar a grupos sofisticados capaces de atacar y robar a organizaciones mucho más grandes. Por eso hemos creado esta sinopsis: las bandas de ransomware se están convirtiendo en unos enemigos peligrosos, y para el público y la comunidad de seguridad es realmente importante que lleguemos a aprender lo máximo posible”, dice Anton Ivanov, analista de seguridad de Kaspersky Lab y autor de este resumen.

Click para comentar

Lo más leído