Las huellas del ransomware

Los cibercriminales ganaron más de $16 millones con el ransomware de 2016 a 2017.

Mientras más entendamos el modus operandi y la magnitud operativa de los cibercriminales, mayor será la eficacia con la que podamos combatirlos. En el caso del ransomware, evaluar el éxito y las ganancias de un grupo criminal dado en general no es tarea fácil. Los proveedores de seguridad a menudo se enteran de dichos ataques al observar y comunicarse con sus clientes, lo cual en esencia significa que a menudo vemos tentativas fallidas. Por su parte, las víctimas de ransomware tienden a quedarse callados (especialmente si pagaron el rescate).

Por consiguiente, son escasos los datos confiables sobre los ataques exitosos. Sin embargo, en el Remote Chaos Communication Congress (RC3) de 2020, un equipo de investigadores presentó un método un tanto curioso para analizar las campañas de los cibercriminales de principio a fin, basado en las huellas que dejan las criptomonedas.

Analistas en la Universidad de Princeton, la Universidad de Nueva York, y la Universidad de California, en San Diego, así como empleados de Google y Chainalysis, realizaron el estudio en 2016 y 2017. Han pasado algunos años, pero su método aún puede aplicarse.

 

Método de investigación

Los criminales tienen miedo de que el dinero deje rastros, por lo cual el cibercrimen moderno prefiere las criptomonedas (Bitcoins, en particular), la cual prácticamente no está regulada y asegura el anonimato. Por otra parte, la criptomoneda se encuentra disponible para cualquiera, y las transacciones hechas con ella no pueden cancelarse.

Sin embargo, aquí es relevante otra característica importante del Bitcoin: todas las transacciones de Bitcoin son públicas. Eso significa que es posible rastrear los flujos financieros y echar un ojo a la magnitud del funcionamiento interno de la economía cibercriminal. Y eso es exactamente lo que los investigadores hicieron.

Algunos atacantes, no todos, generan una dirección única del monedero de BTC para cada víctima, así que los investigadores primero recopilaron los monederos destinadas a los pagos de rescate. Encontraron algunas de las direcciones en los mensajes públicos sobre la infección (muchas víctimas publicaron en línea las capturas de pantalla del mensaje de rescate), y obtuvieron otros ejecutando el ransomware en máquinas de prueba.

Después, los investigadores rastrearon la trayectoria de las criptomonedas después de que se transfirieran al monedero, que en algunos casos requirió que ellos mismos hicieran micropagos de Bitcoin. Bitcoin permite el copago, mediante el cual los fondos de diversos monederos se transfieren a uno, lo que le permitió a los cibercriminales consolidar los pagos de rescate de varias víctimas. Pero dicha operación requiere que un autor intelectual tenga las claves a múltiples monederos. Por lo tanto, rastrear dichas operaciones permite ampliar la lista de víctimas y encontrar simultáneamente la dirección del monedero principal hacia donde se transfieren los fondos.

Tras estudiar los flujos financieros que pasan por los monederos por un período de dos años, los investigadores se hicieron una idea de los ingresos de los cibercriminales y los métodos para el lavado de fondos.

 

Conclusiones principales

El hallazgo clave de los investigadores en ese periodo de dos años fue que 19,750 víctimas transfirieron aproximadamente $16 millones de dólares a los operadores de los cinco tipos más comunes de ransomware. Es verdad que la figura no es totalmente exacta (es improbable que hayan rastreado todas las transacciones), pero proporciona una cifra aproximada de la magnitud de la actividad de los cibercriminales hace algunos años.

Resulta interesante que cerca del 90% del ingreso provenga de las familias de Locky y Cerber (dos de las ciberamenazas más activas en ese tiempo). Además, el infame WannaCry ganó más que unos cientos de miles de dólares (aunque mucho expertos clasifican este malware como borrador, mas no ransomware).

Ganancias estimadas de los creadores del ransomware más diseminado en 2016 y 2017. <a href="https://media.ccc.de/v/rc3-11566-tracking_ransomware_end-to-end">Fuente</a>

Ganancias estimadas de los creadores del ransomware más diseminado en 2016 y 2017. Fuente

 

Resultó de mayor interés investigar cuánto tomaron de esas ganancias los cibercriminales, y cómo lo hicieron. Para ello, los investigadores utilizaron el mismo método de análisis de transacciones para ver en qué monederos de los cibercriminales aparecían transacciones conjuntas donde participaban los ya conocidos monederos de los servicios en línea de cambio de divisas digitales. No todos los fondos se pueden rastrear de esta manera, por supuesto, pero el método les permitió determinar que los cibercriminales retiraron dinero mediante BTC-e.com y BitMixer.io (posteriormente, las autoridades clausuraron ambos servicios de cambio: como habrás imaginado, se dedicaban al lavado de fondos ilícitos).

Desgraciadamente, el sitio de RC3 no permite ver la presentación en video por completo, pero el texto íntegro del informe  sí está disponible.

 

Cómo protegerte del ransomware

Las enormes ganancias del ransomware han provocado que los cibercriminales sean más audaces. Un día se consideran Robin Hoods modernos al invertir en obras de caridad, pero al siguiente lanzan una campaña de anuncios para seguir acosando a sus víctimas. En este estudio, los investigadores intentaron localizar los puntos de presión que detendrían los flujos financieros y sembrarían la duda en las mentes de los cibercriminales acerca de la rentabilidad del nuevo ransomware.

El único método verdaderamente eficaz para combatir el cibercrimen es evitar una infección. Por lo tanto, te recomendamos seguir al pie de la letra las siguientes reglas:

  • [KASAP PLACEHOLDER]Capacita a tus empleados para que reconozcan las técnicas de ingeniería social. En algunos raros casos, los atacantes intentarán infectar las computadoras mediante el envío de documentos maliciosos o un enlace.
  • Actualiza periódicamente todo el software, especialmente los sistemas operativos. Con frecuencia, el ransomware y sus herramientas de envío aprovechan las vulnerabilidades conocidas que no cuenten con un parche.
  • Usa las soluciones de seguridad con tecnologías antiransomware; idealmente, las únicas que son capaces de lidiar con las amenazas conocidas y no detectadas.
  • Realiza copias de seguridad; preferentemente, almacena tus copias en medios separados que no estén conectados de modo permanente a la red local.

Consejos