Así reclutan ciberdelincuentes las mafias
Un colectivo de ciberdelincuentes ha depositado cerca de un millón de euros en un foro de habla rusa con el propósito de demostrar que tienen la capacidad financiera como para contratar a más criminales.
Se trata del grupo que opera el ransomware REvil, también conocido como Sodinokibi, que es uno de los que más están golpeando en este año 2020.
Según detalla Forbes, los criminales informáticos detrás de REvil también han anunciado en ese foro que están buscando nuevos "afiliados" para poder seguir hackeando a compañías con sus ataques con ransomware.
Uno de los jefes de Investigación de McAfee, Raj Samani, se ha mostrado preocupado en redes sociales ante esto.
"Esto es lo que ocurre cuando la seguridad falla en tantos niveles, que los 'chicos malos' abren nuevos y atractivos mercados de trabajo", le han respondido algunos usuarios a Samani.
Bleeping Computer ha dado algunos detalles sobre cómo las mafias de ciberdelincuentes se ponen en contacto para comenzar a operar.
El medio especializado en ciberseguridad recuerda que muchas de estas bandas desarrollan programas de ransomware —capaces de encriptar y cifrar los archivos en los sistemas de sus víctimas para después proceder a exigir un rescate para restaurar los documentos a la normalidad—. Esto es lo que se conoce como Ransomware as a Service o ransomware "como servicio".
De hecho, muchos de los colectivos de ciberdelincuentes, lejos de realizar sus desarrollos propios, encargan los programas maliciosos prefabricados por terceros para poder ejecutar sus propios ciberataques, que en España cuestan más de 100 millones de euros al año.
REvil, uno de los colectivos que distribuyen su Sodinokibi como ransomware como servicio, ha hecho el depósito de 99 bitcoins en un foro ruso para buscar nuevos integrantes de su banda. En concreto, en un post al que ha tenido acceso Bleeping Computer, detallan que buscan "equipos con experiencia o habilidades en tests de penetración" o "gente que tenga experiencia, pero no haya tenido acceso a trabajo".
Brett Callow, analista de una empresa de ciberseguridad, Emsisoft, explica a Business Insider España que muchos colectivos de ransomware operan estos ciberataques con un modelo de afiliados.
Cuando un ciberataque se ejecuta con un ransomware de otro proveedor, Bleeping Computer apunta que el ciberatacante recibe entre el 70% y el 80% del rescate que paga la víctima, mientras que el 30% o 20% de la cantidad extorsionada la recibe el desarrollador del programa.
El Security X-Force Incident Response team de IBM publicó el otro día un profundo informe en el que detallaban cuáles están siendo algunas de las tendencias en ciberataques en lo que va de año. Sodinokibi —de REvil— está protagonizando la mayoría de los ciberataques ante los que actuó el equipo de IBM.
Al menos, 140 empresas, según detallaba dicho documento. Lo peor es que al menos una de cada tres han pagado el rescate.
Sodinokibi, el ransomware de REvil, también ha sido el primero en protagonizar un cambio de tendencia entre 2019 y 2020. Varios expertos en ciberseguridad advertían que en 2020 se verían múltiples ataques con ransomware que también provocarían la exfiltración de documentos sensibles, con los que posteriormente se extorsionaría a las víctimas.
REvil ha atacado a varias compañías españolas. Adif, el gestor de la red ferroviaria nacional, vio cómo este colectivo le sustraía de sus sistemas varios documentos que procedieron a subastar. Es el mismo colectivo que ha atacado al despacho de abogados de celebridades estadounidenses como el mismísimo Donald Trump o Madonna.
Este artículo fue publicado en Business Insider España por Alberto R. Aguiar.
Conoce cómo trabajamos en Computerhoy.