El incremento de ransomware de estos últimos años es resultado de un ecosistema clandestino que permite a los cibercriminales lanzar campañas sin necesidad de grandes conocimientos informáticos ni recursos financieros
El ransomware cifrado,un tipo de malware que cifra los archivos de sus víctimas y solicita un rescate a cambio de recuperarlos, es uno de los tipos de malware más peligrosos en la actualidad. De acuerdo con la telemetría de Kaspersky Lab, en 2016 más de 1.445.000 usuarios (incluidas empresas) de todo el mundo fueron víctimas de este tipo de malware. Para entender mejor la naturaleza de estos ataques, los analistas de Kaspersky Lab han examinado el mercado sumergido de cibercriminales de habla rusa. Una de las principales conclusiones es que el incremento observado en estos últimos años en el ransomware cifrado es el resultado de un ecosistema clandestino muy flexible y atractivo, que permite a los criminales lanzar sus campañas sin necesidad de grandes conocimientos informáticos ni recursos financieros.
Los analistas de Kaspersky Lab han identificado tres niveles de participación delictiva en el negocio del ransomware:
– Creación y puesta al día de nuevas familias de ransomware.
– Desarrollo y soporte de un programa de afiliados de distribución de ransomware.
– Participación como asociado en un programa de afiliados.
El primer nivel exige que un participante tenga conocimientos informáticos avanzados para escribir los códigos. Los cibercriminales que crean los primeros renglones del nuevo ransomware se colocan a la cabeza de este mundo clandestino, ya que son los creadores de los elementos clave del ecosistema.
En el segundo peldaño se sitúan los desarrolladores de los programas de afiliados, integrado por las comunidades de cibercriminales que, con la ayuda de diferentes herramientas, como el spam malicioso o los exploit kits, distribuyen el ransomware recibido de sus creadores.
Los socios del programa de afiliados se sitúan en el nivel más bajo del sistema. Utilizando diferentes técnicas, ayudan a los programas de afiliados a distribuir el malware a cambio de un porcentaje de los rescates pagados. Sólo con mostrar interés, voluntad de llevar a cabo acciones ilegales y el pago de un par de bitcoins, es suficiente para participar en un programa de afiliados.
De acuerdo a las estimaciones de Kaspersky Lab, los ingresos diarios de un programa de afiliados pueden llegar a alcanzar decenas, cientos o miles de dólares, de los cuales el 60% es el beneficio neto que se queda en los bolsillos de los cibercriminales.
Durante su análisis del ecosistema clandestino y de las múltiples operaciones de respuesta a incidentes, los analistas de Kaspersky Lab identificaron varios grupos de cibercriminales de habla rusa especializados en el desarrollo y distribución de ransomware cifrado. Estos grupos pueden llegar a agrupar decenas de participantes, cada uno con su propio programa de afiliados, y la lista de sus objetivos incluye no sólo a usuarios de internet, sino también pequeñas y medianas compañías, e incluso alguna de gran tamaño. Inicialmente con el objetivo puesto en usuarios y entidades rusas y de la Comunidad de Estados Independientes (CIS), estos grupos están virando su interés hacia compañías ubicadas en otras partes del planeta.