¿Todo el ransomware proviene de grupos ciberdelincuentes rusos?

En Datarecovery.com, trabajamos con frecuencia con empresas, organizaciones de atención médica y otras empresas que han sido víctimas de ransomware. Muchos de estos casos son recuperables, mientras que muchas de las variantes de ransomware más conocidas están bien diseñadas, algunas tienen vulnerabilidades de diseño que pueden explotarse para restaurar los datos a su estado original sin pagar un rescate.

Sin embargo, la reciente ola de variantes de ransomware que capturan titulares es excepcionalmente robusta. En muchos casos, las víctimas no tienen otra alternativa que pagar el rescate. Descifrar el cifrado puede llevar meses (o cientos de años, en algunos casos) y, por definición, los sistemas de misión crítica no pueden permanecer fuera de línea durante largos períodos de tiempo.

Los periódicos a menudo citan los orígenes rusos de los principales ataques de ransomware, lo que ha llevado a la idea errónea de que todo el ransomware proviene de grupos de ciberdelincuentes con sede en Rusia. Este no es el caso; El ransomware puede provenir (y lo hace) de todas partes, pero los atacantes más exitosos a menudo provienen de países de habla rusa.

Evidencia de orígenes de habla rusa en ataques cibernéticos recientes

En febrero de 2017, la firma de seguridad Kaspersky estimó que el 75 por ciento del ransomware proviene de fuentes de habla rusa. Sin embargo, eso no significa necesariamente que todos los atacantes sean de habla rusa: los malos actores que crean el ransomware a menudo están separados de las personas que llevan a cabo el ataque. Este segundo grupo actúa como "afiliados", distribuyendo ransomware y recaudando el rescate. No hay suficientes datos concretos para concluir que es más probable que los programadores reales hablen ruso que, digamos, chino.

Dicho esto, muchos de los ataques de ransomware más significativos se han rastreado hasta hablantes de ruso (observaremos aquí que estamos usando la frase "hablante de ruso" en lugar de "Rusia" porque determinar el idioma es mucho más fácil que confirmar la nacionalidad, y no hay evidencia actual que sugiera que el gobierno de alguna nación esté activamente involucrado en la distribución de ransomware, con la notable excepción de los grupos militares de piratas informáticos de Corea del Norte ).

Algunos ejemplos de interés periodístico de ataques de ransomware con orígenes de habla rusa:

• El 7 de julio de 2021, un informe de Trustwave SpiderLabs identificó un ataque de ransomware de los piratas informáticos de habla rusa REvil que se escribió para evitar activamente los sistemas que tienen configuraciones de idioma predeterminadas de la antigua región de la URSS.
• DarkSide, el grupo de habla rusa que atacó el Oleoducto Colonial en mayo, usó ransomware escrito para evitar computadoras en Rusia y los antiguos países satélites soviéticos.
• El 14 de mayo de 2021, el servicio de salud de Irlanda sufrió un importante ataque de ransomware atribuido a Wizard Spider, un grupo de ciberdelincuentes que se cree tiene su sede en San Petersburgo, Rusia.

La mayoría de los ataques cibernéticos no aparecen en las noticias: cada uno de los ataques de ransomware enumerados anteriormente cae en la categoría de "cazadores de caza mayor". Estos ataques pueden ser notablemente sofisticados. En algunos casos, el malware permanece en un servidor durante meses para evitar que el objetivo se recupere de las copias de seguridad utilizables. Los ataques de ransomware más pequeños utilizan más un método de fuerza bruta y se dirigen a cientos de víctimas potenciales. Es más probable que estos tipos de ataques sean recuperables.

Prevención de infecciones de ransomware (y recuperación de ransomware)

No podemos especular por qué muchos ataques importantes provienen de países de habla rusa, pero algunos medios de comunicación creen que la aplicación laxa de las leyes contra el delito cibernético en Rusia ha hecho que la práctica sea casi legal. También es posible que algunos grupos de malware imiten a grupos rusos conocidos para ocultar sus identidades de manera más efectiva.

Independientemente del origen, un ataque de ransomware puede ser paralizante para una empresa. Si bien todas las empresas deben implementar un programa sólido para prevenir infecciones, aquí hay algunos consejos rápidos para limitar las vulnerabilidades:

• Limite el acceso periférico a todos los sistemas de respaldo. Esto incluye medios ópticos (CD/DVD), discos duros externos y unidades flash. Considere instalar bloqueos USB para evitar el acceso no autorizado a periféricos.
• Mantenga una copia de seguridad con espacio de aire de los datos importantes. Todos los datos de misión crítica deben duplicarse y almacenarse fuera de la red. Siempre que sea posible, mantenga las copias de seguridad de misión crítica fuera del sitio.
• Educar a los empleados. Muchos ataques de ransomware ocurren a través del correo electrónico. Establezca protocolos sólidos para evitar que el personal abra correos electrónicos (y archivos adjuntos) comprometidos.
• Aísle los sistemas siempre que sea posible. Limitar el acceso a la infraestructura de TI importante es una de las formas más efectivas de evitar un ataque exitoso.
• Verifique las copias de seguridad con regularidad. Tenga un plan de recuperación ante desastres: ejecute escenarios de simulación y determine si sus prácticas actuales son lo suficientemente sólidas para una infección real.

Finalmente, si ocurre un ciberataque, no entre en pánico. Apague todos los sistemas afectados inmediatamente. No intente restaurar desde copias de seguridad si existe alguna posibilidad de que las copias de seguridad se infecten en el proceso.

El curso de acción más seguro es ponerse en contacto con una empresa de recuperación de ransomware con experiencia. Para una consulta gratuita, llame a Datarecovery.com al 1-800-237-4200 y pida hablar con un experto en malware.