Los delincuentes de ransomware son cada vez más despiadados
Theft.jpg

Solo en los Estados Unidos el año pasado fueron más de 100 agencias federales, estatales y municipales, más de 500 centros de salud, 1,680 instituciones educativas e incontables miles de negocios, según la firma de ciberseguridad Emsisoft. Las pérdidas en dólares ascienden a decenas de miles de millones. Los números precisos son difíciles de alcanzar. Muchas víctimas evitan informar por temor a la plaga de su reputación.

 

Mientras tanto, los gánsteres del ransomware se han vuelto más descarados y arrogantes a medida que ponen en riesgo cada vez más vidas y medios de subsistencia. Esta semana, un sindicato amenazó con poner a disposición de las bandas criminales locales datos que, según dicen, robaron de la policía metropolitana de Washington, DC, sobre informantes. Otro se ofreció recientemente a compartir los datos robados de las víctimas corporativas con los comerciantes internos de Wall Street. Los ciberdelincuentes incluso se han comunicado directamente con personas cuya información personal se obtuvo de terceros para presionar a las víctimas para que paguen.

 

“En general, los actores del ransomware se han vuelto más audaces y despiadados”, dijo Allan Liska, analista de la firma de ciberseguridad Recorded Future.

 

Los gánsteres del ransomware se han vuelto más descarados y arrogantes a medida que ponen en riesgo cada vez más vidas y medios de subsistencia.

 

El gobierno de EE. UU. Ahora considera que el ransomware es una amenaza para la seguridad nacional. El Departamento de Justicia acaba de crear un grupo de trabajo para abordarlo.

El jueves, un grupo de trabajo público-privado que incluía a Microsoft, Amazon, la Asociación Nacional de Gobernadores, el FBI, el Servicio Secreto y las agencias criminales de élite de Gran Bretaña y Canadá entregaron a la Casa Blanca un plan de acción urgente de 81 páginas para un agresivo y completo plan de acción integral. asalto del gobierno contra el ransomware, con el secretario de Seguridad Nacional, Alejandro Mayorkas, listo para acompañarlos para un lanzamiento formal en línea.

 

¿DE DÓNDE PROVIENE EL RANSOMWARE? ¿COMO FUNCIONA?

Los sindicatos criminales que dominan el negocio del ransomware son en su mayoría de habla rusa y operan con casi impunidad fuera de Rusia y países aliados. Son una continuación y un refinamiento (el ransomware era apenas un problema pasajero hace tres años) de más de dos décadas de robo cibernético que envió spam, robó tarjetas de crédito e identidades y vació cuentas bancarias. Los sindicatos han crecido en sofisticación y habilidad, aprovechando los foros de la web oscura para organizar y reclutar mientras ocultan sus identidades y movimientos con herramientas como el navegador Tor y las criptomonedas que hacen que los pagos, y su lavado, sean más difíciles de rastrear.

 

El ransomware codifica los datos de una organización víctima con cifrado. Los delincuentes dejan instrucciones en las computadoras infectadas sobre cómo negociar el pago del rescate y, una vez pagado, proporcionan claves de descifrado de software.

El año pasado, los ladrones de ransomware se expandieron al chantaje por robo de datos. Antes de activar el cifrado, extraen silenciosamente archivos confidenciales y amenazan con exponerlos públicamente a menos que se paguen rescates. Las víctimas que respaldaban diligentemente sus redes como protección contra el ransomware ahora tenían que pensarlo dos veces antes de negarse a pagar. A fines de 2019, solo un grupo de ransomware tenía un sitio de extorsión en línea que publicaría dichos archivos. Ahora lo hacen más de dos docenas.

 

Las víctimas que se niegan a pagar pueden incurrir en costos que superan con creces los rescates que podrían haber negociado. Le sucedió recientemente a la Red de Salud de la Universidad de Vermont. Sufrió pérdidas estimadas en $ 1.5 millones por día en los dos meses que tardó en recuperarse. Más de 5,000 computadoras de hospitales, sus datos codificados en un galimatías, tuvieron que ser borrados y reconstituidos a partir de datos respaldados.

Los ciberdelincuentes sofisticados conocen el límite de cobertura del seguro de ciberseguridad de una víctima.

 

La Universidad de California-San Francisco, muy involucrada en la investigación de COVID-19, apenas dudó antes de pagar. Le dio a los criminales 1,1 millones de dólares en junio pasado. Los fabricantes se han visto especialmente afectados este año, con rescates de 50 millones de dólares exigidos a los fabricantes de ordenadores Acer y Quanta, un importante proveedor de portátiles de Apple.

 

¿CÓMO ESTÁN ORGANIZADOS ESTOS CRIMINALES?

Algunos de los principales delincuentes de ransomware se creen profesionales de servicios de software. Se enorgullecen de su "servicio al cliente", proporcionando "mesas de ayuda" que ayudan a las víctimas que pagan en el descifrado de archivos. Y tienden a cumplir su palabra. Tienen marcas que proteger, después de todo.

“Si cumplen sus promesas, se alentará a las futuras víctimas a pagar”, dijo Maurits Lucas, director de soluciones de inteligencia de la firma de ciberseguridad Intel471, en un seminario web a principios de este año. "Como víctima, realmente conoces su reputación".

 

El negocio tiende a estar compartimentado. Un afiliado identificará, mapeará e infectará objetivos, elegirá víctimas e implementará ransomware que normalmente se "alquila" a un proveedor de ransomware como servicio. El proveedor recibe una parte del pago, el afiliado normalmente se lleva más de las tres cuartas partes. Otros subcontratistas también pueden obtener una tajada. Eso puede incluir a los autores del malware utilizado para irrumpir en las redes de las víctimas y las personas que ejecutan los llamados "dominios a prueba de balas" detrás de los cuales las bandas de ransomware esconden sus servidores de "comando y control". Esos servidores gestionan la siembra remota de malware y la extracción de datos antes de la activación, un proceso sigiloso que puede llevar semanas.

 

¿ POR QUÉ LOS RESCATE SIGUEN ESCALANDO? ¿CÓMO PUEDEN SER DETENIDOS?

En el informe del jueves, el grupo de trabajo dice que sería incorrecto intentar prohibir los pagos de rescate, en gran parte porque "los atacantes de ransomware continúan encontrando sectores y elementos de la sociedad que lamentablemente no están preparados para este estilo de ataque".

El grupo de trabajo reconoce que pagar puede ser la única forma de que una empresa afectada evite la bancarrota. Peor aún, los ciberdelincuentes sofisticados a menudo han investigado y conocen el límite de cobertura del seguro de ciberseguridad de la víctima. Se sabe que lo mencionan en las negociaciones.

 

Ese grado de habilidad criminal ayudó a impulsar los pagos promedio de rescate a más de $ 310,000 el año pasado, un 171% más que en 2019, según Palo Alto Networks, un miembro del grupo de trabajo.

La respuesta múltiple requerirá el tipo de cooperación diplomática, legal y policial concertada con aliados clave que la administración Trump rechazó.

 

No es de extrañar que la aún joven industria de los seguros cibernéticos se esté tambaleando. Las primas aumentaron entre un 50% y un 100% en el último año, ya que el ransomware se convirtió en el reclamo número uno, dijo Michael Phillips, director de reclamos de Resilience Insurance y copresidente del grupo de trabajo. En promedio, los pagos de reclamos de seguros cibernéticos ahora pueden exceder el 70% de lo que se paga en primas, lo que llevó a algunas aseguradoras a abandonar este tipo de seguro por completo, según muestran los informes de la industria.

La respuesta múltiple al ransomware propuesta por el grupo de trabajo requerirá el tipo de cooperación diplomática, legal y policial concertada con aliados clave que la administración Trump rechazó, desplazando lo que los autores llaman la respuesta actual "descoordinada e inconexa".

 

"No hay una solución milagrosa, pero si vamos a cambiar la trayectoria de este tipo de ataque, el gobierno de EE. UU. Tiene que llegar a esto con cierta rapidez", dijo el copresidente del grupo de trabajo Philip Reiner, director ejecutivo del Instituto sin fines de lucro. para la seguridad y la tecnología.

 

Los desarrolladores de ransomware y sus afiliados deben ser nombrados y avergonzados (no siempre son fáciles de identificar) y los regímenes que les permiten castigarlos con sanciones, insta el informe.

Exige la divulgación obligatoria de los pagos de rescate y un "fondo de respuesta" federal para brindar asistencia financiera a las víctimas, con la esperanza de que, en muchos casos, les impida pagar rescates. Y quiere una regulación más estricta de los mercados de criptomonedas para que sea más difícil para los delincuentes lavar los ingresos del ransomware.

 

El grupo de trabajo también pide algo potencialmente controvertido: enmendar la Ley de Abuso y Fraude Informático de EE. UU. Para permitir que la industria privada bloquee o limite activamente la actividad delictiva en línea, incluidas las botnets, las redes de computadoras zombis secuestradas que los criminales de ransomware utilizan para sembrar infecciones.

 

Las probabilidades de sofocar con éxito el ransomware son altas, reconocen los autores del informe: “El viejo adagio de que un ciberdelincuente solo tiene que tener suerte una vez, mientras que un defensor tiene que tener suerte cada minuto de cada día, nunca ha sido más cierto.

Need A Quote?

Our team can assist with all lines of insurance coverage. Click Here

Speeding car, driving on the Highway Bri

Is Your Cyber Coverage Up to Date?

Cyber threats have increased exponentially.

Contact us for a complete review of your program

cyber2.jpg

Claims Management

Concerned about high claims experience? We can help. Contact us about our claims management process.

Worker Carrying Asbestos Board

Employee Benefits

2021 will bring new low-cost Voluntary Benefits you can offer to your employees. Let us show you what's available

Contact us

Faces_d800.jpg

Workers' Compensation

We can help you with your workers' compensation. Contact us.

Working on the tunnel (1).jpg