Individuos con conocimiento de la infraestructura de TI abren la puerta a los ciberdelincuentes para extorsionar a las empresas por medio del pago de un rescate o la exposición pública de la información privada.
Después de realizar una extensa investigación, Metabase Q, la plataforma end-to-end de ciberseguridad para compañías en América Latina, dio a conocer que el grupo ruso ALPHV/Blackcat, creador del ransomware que colapsó en mayo de 2021 al sistema de gasoductos en los Estados Unidos se ha convertido ya en una amenaza real para México y Latinoamérica.
De acuerdo con el estudio realizado por Metabase Q, a poco más de un año de los primeros ataques, este grupo criminal (ALPHV/Blackcat), suma 2 tipos de extorsión adicionales. El primero son ataques de denegación, es decir a nuestros portales web o infraestructura en la nube, con el objetivo de frenar, obstruir, o entorpecer la operación de toda la infraestructura que se tenga expuesta en internet, (portales web de servicio, de atención, de gestión). El otro es la indexación abierta al público de toda aquella información que fue robada; por ejemplo, documentos, archivos, etc. Es decir, crean un mercado de compraventa de toda la información robada a menos que el afectado pague el rescate de la misma.
Al respecto, Mauricio Benavides, CEO de Metabase Q, afirma que la firma dirigida por él ya está familiarizada y sabe cómo operan los dos tipos de extorsión digital de este grupo especializado en ransomware, el cual a través del cifrado de nuestra información genera la extorsión para obtener un pago por la recuperación de la misma bajo la amenaza de ofertar o compartirla al público en general.
Es así que, cualquier persona con acceso al sitio del grupo de ransomware, puede buscar por información específica, credenciales (usuarios y contraseñas) a sistemas específicos, planos, proyectos, directorios, etc. Básicamente una biblioteca perfectamente organizada de la información robada.
En Latinoamérica, México es uno de los países más afectados por los efectos de ALPHV/Blackcat pues más de 40 empresas han sufrido de ciberataques por este ransomware principalmente en la Ciudad de México, Guanajuato, Chihuahua, Nuevo León, Jalisco y el Estado de México.
Las industrias objetivo son diversas pues al acceder a los portales de exposición de la información se encontraron diversas empresas mexicanas de los sectores financiero, energía, tecnología, manufacturero, construcción, farmacéutico, e incluso gubernamental.
Son más de 1.000 empresas las afectadas, sin embargo, se descubrió que para llevar a cabo un ataque con ALPHV *un asociado (probablemente un colaborador) debe conocer o tener noción de un punto de acceso a la infraestructura de la empresa objetivo, esto para facilitar el ataque. Ya que usarán desde una pieza de ransomware específica, como infraestructura única para llevar a cabo cada uno de los ataques. Con esto, logran evadir las soluciones basadas en muestras o infraestructura identificada como maliciosa.
La última empresa mexicana *conocida, fue atacada el 24 de mayo de este año. El grupo de ransomware filtró el contenido. Sin embargo, poco después lo retiró (es posible que se haya pagado el rescate). Aquí podemos hacer un breve paréntesis para poner en análisis lo siguiente: un grupo criminal que comienza a ver que un tipo de objetivo paga rescate, comienza a ver en él un “cliente seguro”. Si empresas mexicanas pagan por el rescate, nos llevará a ser blanco de más y más grupos similares.
Actualmente, aquellas empresas que han sido atacadas y pagan el rescate a tiempo, no han sido expuestas por estos grupos de ransomware. Por ello, al momento no es posible conocer el número real de víctimas de este ciberdelito.
*El asociado: Básicamente es un esquema de negocio que ofrecen los grupos de ransomware, donde puedes ser, desde un especialista con nivel técnico alto que cuente con accesos de alguna empresa obtenidos de manera ilegal y pueda ofrecerlos o bien un empleado descontento que cuenta con acceso a la infraestructura y puede ser usado como el primer escalón de un ataque, conocido como Insider Threat.
Costos del rescate
Sabemos que el pago promedio de ransomware aumentó un 82% del 2020 al 2021 pero al llegar al 2022 los precios volvieron a incrementarse. Sin embargo, este grupo de ransomware maneja precios aún mayores. Se sabe que los montos más comunes que solicita ALPHV superan los u$s 2.5 MDD. A pesar de que ALPHV está “compitiendo” con otros grupos de ransomware como CONTI y LOCKBIT 3.0, siempre está buscando innovar buscando nuevos mecanismos para garantizar el éxito de la extorsión y por ende el pago del rescate.
Conclusión
Para concluir, si bien las características de esta amenaza parecen ya conocidas, podemos sumarle a esto que el nivel técnico de quien está detrás del desarrollo del malware es elevado, ya que además de ser *el primer grupo de ransomware que diseña sus piezas de malware en RUST (lenguaje de programación sofisticado), también cuenta con mecanismos para evadir las detecciones por distintas soluciones de seguridad avanzadas.
* Otros grupos de ransomware ya se están subiendo a este tipo de programación para armar piezas de malware igual de sofisticadas y con ello subir el porcentaje de ataques exitosos.
Análisis de las industrias objetivo de ALPHV en el mes de julio
Se detalla en la lista las industrias objetivo que fueron expuestas y que no pagaron el rescate. De estas empresas, tenemos que se filtraron distintas cantidades de información, desde 13.5 GB hasta 2.7 Terabytes. Las industrias más afectadas en este mes fueron la jurídica, y las de servicios de TI.
| Industria | Tamaño del leak | Fecha |
| Auditoría | 600 GB | 01/07/2022 |
| Hotelería | 500GB | 06/07/2022 |
| Gobierno | 1.3TB | 07/07/2022 |
| Jurídico | 211GB | 07/07/2022 |
| Jurídico | 250GB | 09/07/2022 |
| Servicios TI | 200GB | 10/07/2022 |
| Aeroespacial | 130GB | 11/07/2022 |
| Videojuegos | 13.5GB | 11/07/2022 |
| Supermercado | 500GB | 14/07/2022 |
| Agropecuaria | 300GB | 14/07/2022 |
| Jurídico | 730GB | 18/07/2022 |
| Outsourcing | 297GB | 19/07/2022 |
| Infraestructura | 200GB | 20/07/2022 |
| Marketing | 1.05TB | 23/07/2022 |
| Servicios TI | 400GB | 24/07/2022 |
| Contabilidad | 151GB | 24/07/2022 |
| Arquitectura | 290GB | 26/07/2022 |
| Servicios TI | 443GB | 28/07/2022 |
| E-markets | 343GB | 28/07/2022 |
| Jurídico | 2.7 TB | 29/07/2022 |
Podemos observar además que el tamaño de las industrias va de la mediana a la grande, aunque hay algunos casos de ataques a pequeñas empresas.
