Hubo un tiempo en que la frontera entre la ciberdelincuencia y la actividad de amenazas alineadas con Estados era bastante fácil de discernir. A los ciberdelincuentes sólo les movía el afán de lucro. Y sus homólogos en el gobierno llevaban a cabo principalmente campañas de ciberespionaje, además de algún que otro ataque destructivo, para promover los objetivos geopolíticos de sus empleadores. Sin embargo, en los últimos meses, esta línea ha comenzado a disolverse, incluso cuando se trata de ransomware, una tendencia también señalada por el último Informe sobre Amenazas de ESET.

Esto tiene implicaciones potencialmente importantes para los responsables de TI y seguridad, ya que no sólo aumenta el riesgo de ataque, sino que también cambia el cálculo sobre cómo mitigar ese riesgo.

Líneas difusas en el ciberespacio

Se podría argumentar que los ataques de ransomware lanzados por hackers patrocinados por el Estado no son nada nuevo. En 2017, se cree que operativos afiliados a Corea del Norte lanzaron WannaCry (también conocido como WannaCryptor), el primer ransomworm global de la historia. Solo se detuvo después de que un investigador de seguridad descubriera y activara un "kill switch" oculto en el código malicioso. Ese mismo año, hackers patrocinados por el Estado lanzaron la campaña NotPetya contra objetivos ucranianos, aunque en este caso se trataba en realidad de malware destructivo disfrazado de ransomware para despistar a los investigadores. En 2022, ESET observó que el grupo ruso Sandworm utilizaba el ransomware de una forma similar: como un wiper de datos.

La línea que separa las operaciones respaldadas por el Estado de los delitos con motivación financiera se ha ido borrando desde entonces. Como también señalamos hace un tiempo,  en la darkweb se venden exploits y malware a actores estatales, mientras que algunos gobiernos contratan a hackers freelance para ayudar en determinadas operaciones.

Estas tendencias parecen estar acelerándose y, en los últimos tiempos, ESET y otros han observado varios motivaciones aparentes, entre ellas:

Ransomware para llenar las arcas del Estado

Los hackers gubernamentales están utilizando deliberadamente el ransomware como una herramienta para ganar dinero para el Estado. Esto es más evidente en Corea del Norte, donde los grupos de amenazas también atacan a empresas de criptomoneda y bancos con sofisticados mega-robos. De hecho, se cree que obtuvieron unos 3.000 millones de dólares en beneficios ilícitos con esta actividad entre 2017 y 2023.

En mayo de 2024, Microsoft observó que el grupo Moonstone Sleet, alineado con Pyongyang, desplegaba un ransomware personalizado apodado "FakePenny" en los próximos trabajos de varias organizaciones aeroespaciales y de defensa, después de robar primero información sensible. "Este comportamiento sugiere que el actor tenía objetivos tanto de recopilación de inteligencia como de monetización de su acceso", dijo.

También se sospecha que el grupo norcoreano Andariel proporcionó acceso inicial y/o servicios de afiliación al grupo de ransomware conocido como Play. Esto se debe a que el ransomware Play fue detectado en una red previamente comprometida por Andariel.

Ganar dinero extra

Otro motivo de la implicación estatal en los ataques de ransomware es permitir que los hackers gubernamentales ganen algo de dinero con el pluriempleo. Un ejemplo es el grupo iraní Pioneer Kitten (también conocido como Fox Kitten, UNC757 y Parisite), que ha sido descubierto por el FBI "colaborando directamente con afiliados de ransomware para permitir operaciones de cifrado a cambio de un porcentaje del pago de los rescates".

Trabajaba en estrecha colaboración con NoEscape, Ransomhouse y ALPHV (alias BlackCat), no sólo proporcionando el acceso inicial, sino también ayudando a bloquear las redes de las víctimas y colaborando en las formas de extorsionarlas.

Despistar a los investigadores

Los grupos APT vinculados a Estados también utilizan el ransomware para ocultar la verdadera intención de los ataques. Esto es lo que se cree que ha hecho ChamelGang (alias CamoFei), alineado con China, en múltiples campañas dirigidas a organizaciones de infraestructuras críticas en Asia Oriental e India, así como en Estados Unidos, Rusia, Taiwán y Japón. Utilizar el ransomware de esta forma no sólo sirve para encubrir estas operaciones de ciberespionaje, sino que también permite a los operarios destruir las pruebas de su robo de datos.

¿Importa la atribución?

Es obvio por qué los grupos apoyados por el gobierno utilizan el ransomware. Como mínimo, les proporciona una cobertura útil de negación que puede confundir a los investigadores. Y en muchos casos, lo hace al tiempo que aumenta los ingresos del Estado y ayuda a motivar a los hackers empleados por el gobierno, que a menudo son poco más que funcionarios mal pagados. La gran pregunta es si realmente importa quién ataca. Después de todo, Microsoft descubrió pruebas de que las agencias gubernamentales subcontratan el trabajo al por mayor, aunque en el caso de Storm-2049 (UAC-0184 y Aqua Blizzard, no se trataba de ransomware.

Aquí hay dos escuelas de pensamiento. Los consejos sobre las mejores prácticas de seguridad deberían seguir siendo válidos y constituir una forma eficaz de reforzar la resistencia y acelerar la respuesta ante incidentes, sea quien sea el atacante. Si los grupos APT alineados con el Estado acaban utilizando tácticas, técnicas y procedimientos (TTP) de la ciberdelincuencia, esto puede incluso beneficiar a los defensores de la red, ya que es probable que sean más fáciles de detectar y de defenderse que las sofisticadas herramientas personalizadas.

Comprender al adversario es el primer paso esencial para gestionar la amenaza. Así se explica en el informe de investigación 2023, Cyber Attacker Profiling for Risk Analysis Based on Machine Learning: "Uno de los componentes esenciales del análisis de riesgos de ciberseguridad es la definición de un modelo de atacante. El modelo de atacante especificado, o perfil de atacante, afecta a los resultados del análisis de riesgos y, posteriormente, a la selección de las medidas de seguridad para el sistema de información."

Contraatacar

Dicho esto, si no conoce la identidad de su adversario, todavía hay formas de mitigar el impacto de sus ataques de ransomware. He aquí 10 pasos de buenas prácticas:

  • Afrontar la ingeniería social con programas actualizados de formación y concienciación en materia de seguridad
  • Asegurar que las cuentas están protegidas con contraseñas largas, seguras y únicas y autenticación multifactor (MFA)
  • Segmentar las redes para reducir el "área de explosión" de los ataques y limitar el movimiento lateral
  • Desplegar una supervisión continua (encpoint detection and response, o managed detection and response) para identificar comportamientos sospechosos en una fase temprana
  • Comprobar periódicamente la eficacia de los controles, políticas y procesos de seguridad para impulsar la mejora continua
  • Implantar herramientas avanzadas de gestión de vulnerabilidades y parches
  • Asegurar que todos los activos sensibles están protegidos por un software de seguridad multicapa de un proveedor de confianza, incluidos ordenadores de sobremesa, servidores y portátiles/dispositivos móviles
  • Invertir en inteligencia sobre amenazas de un socio de confianza
  • Realizar copias de seguridad periódicas de acuerdo con las mejores prácticas
  • Diseñar una estrategia eficaz de respuesta a incidentes y practicarla periódicamente

Según una estimación, la delincuencia organizada fue responsable del 60% de las filtraciones de datos del año pasado, frente a sólo el 5% atribuido a los Estados nación. Pero este último porcentaje está creciendo, y las propias filtraciones podrían tener un impacto enorme en las organizaciones. La concienciación continua y la gestión proactiva del riesgo son esenciales.