Tiempo de lectura aprox: 2 minutos, 20 segundos
El grupo ruso, creador del ransomware que colapsó en mayo de 2021 al sistema de gasoductos en los Estados Unidos, se ha convertido en una amenaza real para México y Latinoamérica.
Vicente Gutiérrez
Después de realizar una extensa investigación, Metabase Q, la plataforma end-to-end líder de ciberseguridad para compañías en América Latina, dio a conocer que el grupo ruso ALPHV/Blackcat, creador del ransomware que colapsó en mayo de 2021 al sistema de gasoductos en los Estados Unidos se ha convertido ya en una amenaza real para México y Latinoamérica.
De acuerdo con el estudio realizado por Metabase Q, a poco más de un año de los primeros ataques, este grupo criminal (ALPHV/Blackcat), suma 2 tipos de extorsión adicionales.
El primero son ataques de denegación, es decir a nuestros portales web o infraestructura en la nube, con el objetivo de frenar, obstruir, o entorpecer la operación de toda la infraestructura que se tenga expuesta en internet, (portales web de servicio, de atención, de gestión).
El otro es la indexación abierta al público de toda aquella información que fue robada; por ejemplo, documentos, archivos, etc. Es decir, crean un mercado de compraventa de toda la información robada a menos que el afectado pague el rescate de la misma.
Mauricio Benavides, CEO de Metabase Q afirma que la firma dirigida por él ya está familiarizada y sabe cómo operan los dos tipos de extorsión digital de este grupo especializado en ransomware, el cual a través del cifrado de nuestra información genera la extorsión para obtener un pago por la recuperación de la misma bajo la amenaza de ofertar o compartirla al público en general.
Es así que, cualquier persona con acceso al sitio del grupo de ransomware, puede buscar por información específica, credenciales (usuarios y contraseñas) a sistemas específicos, planos, proyectos, directorios, etc. Básicamente una biblioteca perfectamente organizada de la información robada.
En Latinoamérica, México es uno de los países más afectados por los efectos de ALPHV/Blackcat pues más de 40 empresas han sufrido de ciberataques por este ransomware principalmente en la Ciudad de México, Guanajuato, Chihuahua, Nuevo León, Jalisco y el Estado de México.
Las industrias objetivo son diversas pues al acceder a los portales de exposición de la información se encontraron diversas empresas mexicanas de los sectores financiero, energía, tecnología, manufacturero, construcción, farmacéutico, e incluso gubernamental.
Son más de 1,000 empresas las afectadas, sin embargo, se descubrió que para llevar a cabo un ataque con ALPHV un asociado (probablemente un colaborador) debe conocer o tener noción de un punto de acceso a la infraestructura de la empresa objetivo, esto para facilitar el ataque. Ya que usarán desde una pieza de ransomware específica, como infraestructura única para llevar a cabo cada uno de los ataques. Con esto, logran evadir las soluciones basadas en muestras o infraestructura identificada como maliciosa.
La última empresa mexicana conocida, fue atacada el 24 de mayo de este año. El grupo de ransomware filtró el contenido. Sin embargo, poco después lo retiró (es posible que se haya pagado el rescate).
Actualmente, aquellas empresas que han sido atacadas y pagan el rescate a tiempo, no han sido expuestas por estos grupos de ransomware. Por ello, al momento no es posible conocer el número real de víctimas de este ciberdelito.
El asociado: Básicamente es un esquema de negocio que ofrecen los grupos de ransomware, donde puedes ser, desde un especialista con nivel técnico alto que cuente con accesos de alguna empresa obtenidos de manera ilegal y pueda ofrecerlos o bien un empleado descontento que cuenta con acceso a la infraestructura y puede ser usado como el primer escalón de un ataque, conocido como Insider Threat.
Costos del rescate
Sabemos que el pago promedio de ransomware aumentó un 82% del 2020 al 2021 pero al llegar al 2022 los precios volvieron a incrementarse. Sin embargo, este grupo de ransomware maneja precios aún mayores. Se sabe que los montos más comunes que solicita ALPHV superan los $ 2.5 MDD. A pesar de que ALPHV está “compitiendo” con otros grupos de ransomware como CONTI y LOCKBIT 3.0, siempre está buscando innovar buscando nuevos mecanismos para garantizar el éxito de la extorsión y por ende el pago del rescate.