En el mundo de la ciberdelincuencia, el ransomware se ha convertido en la principal amenaza de cualquier sector.
Cuando hablamos de ransomware a menudo tendemos a fijar nuestra atención en el cifrado de información que sufren las compañías cuando un ciberdelincuente trata de extorsionarlas.
Sin embargo, hasta llegar a ese punto hay una serie de pasos que arrancan con un elemento clave de todo el proceso: el acceso no autorizado a los sistemas de información.
Se trata de un entorno en el que participan grupos reducidos, pero perfectamente identificado, de actores que responden a un método de trabajo, a modo de cadena de suministros, muy estructurado.
Contar con proveedores solventes y de confianza se convierte en una condición indispensable para esta “cadena de valor”. Es lo que conocemos como el ecosistema de actores de un ransomware.
Propietarios del ransomware
Por un lado, están los propietarios del ransomware, aquellos que desarrollan aplicaciones capaces de cifrar la información de cualquier fichero utilizando algoritmos robustos de claves pública-privada con los que se reservan las llaves para descifrar los datos cuando la víctima accede a pagar el rescate.
En torno a esas aplicaciones, estos ciberdelincuentes articulan todo un conjunto de servicios dirigidos a facilitar su uso por terceras partes interesadas. Para ellos, los propietarios conforman una infraestructura que se conoce como RaaS, Ransomware as a Service.
Los RaaS permiten planificar acciones de cifrado de información, gestionar el estado de la negociación con las víctimas e incluso tramitar, llegado el caso el pago de los rescates. Algo así, como un entorno amigable con el que cometer los delitos.
De este modo, los proveedores u operadores RaaS ofrecen “su producto” a “sus clientes” que se conocen como…
Afiliados
Los afiliados son habitualmente actores con menor —a menudo nula— capacidad de desarrollo de software.
Se trata de ciberdelincuentes que, a través de acuerdos con los desarrolladores del “producto”, utilizan los servicios de las plataformas RaaS y se encargan de completar el ataque a sus víctimas solicitando el pago de los rescates que normalmente comparten con los operadores en una relación aproximada de 70-30.
Cuentas en criptomonedas
Obviamente, para ello necesitan al menos dos elementos adicionales: la identificación de las víctimas y la entidad colaboradora donde depositar y posteriormente recuperar, el rescate solicitado.
El cobro del rescate a través de criptomonedas es el procedimiento más habitual, aprovechando el anonimato de sus transacciones y la dificultad que implica su seguimiento. Disponer, así, de una cuenta anónima en criptomonedas con la que operar en cualquiera de las plataformas disponibles en el mercado resulta indispensable.
Con ellas es posibles transferir el dinero, comprar otros productos y pagar comisiones a otros actores que colaboran en las operaciones a modo de “mulas”.
Un último eslabón… los IAB
Pero ¿quiénes son los IAB?
A menudo, este término resulta desconocido para la gran mayoría de las personas, aunque el papel de estos actores resulta indispensable para el éxito de la operación. Hablamos de aquellos ciberdelincuentes que proporcionan el acceso inicial a la red corporativa de las víctimas.
Normalmente se trata de actores que analizan la infraestructura de sus objetivos y detectan, entre otras cosas, vulnerabilidades en los productos que utilizan para conseguir acceder con ciertos privilegios a los recursos internos de una organización para posteriormente ofrecérselos a los afiliados a precios negociables.
De este modo, queda establecida la conexión entre propietarios, afiliados e IAB como si de una cadena de suministros se tratara y teniendo a la víctima como su principal “cliente objetivo”.
Un ecosistema delictivo en el que todos ganan… todos menos uno.
