En los primeros ocho meses de este año se ha registrado un promedio de 4,000 ataques de ransomware al día en América Latina, de acuerdo con cifras de Kaspersky. Aunque esta cifra representa una disminución del 28% en comparación con el mismo periodo en 2021, los expertos de Kaspersky advierten que esta reducción no significa que los ciberdelincuentes estén abandonando este método de operación. Al contrario, alertan que los grupos criminales se han enfocado en ataques dirigidos, pues en la región se han detectado familias locales de ransomware cuyo único objetivo es atacar a instituciones latinoamericanas, ya sea del sector público o privado.
Tal es el caso de una nueva familia de ransomware que atacó en Colombia y Chile y que justamente recibe el nombre de Chile Locker, haciendo referencia al primer país en el que hizo su aparición en agosto de 2022. Se trata de una familia de ransomware que fue diseñada por cibercriminales latinoamericanos con la capacidad de robar credenciales guardadas en navegadores, enumerar dispositivos de extracción (como discos duros y pendrives) para el cifrado y evadir la detección por antivirus mediante tiempos de espera de ejecución. Hasta la fecha, Chile Locker solo se ha detectado en la región.
Según estadísticas de Kaspersky, varios países latinoamericanos registraron un incremento en ataques de ransomware durante el mes de agosto, entre estos Ecuador, con 52,000, seguido por Colombia con 50,000 y Costa Rica con 736. Este último país fue blanco del ransomware durante gran parte del presente año, víctima de Conti, grupo enfocado en atacar a entidades de gobierno y que opera bajo el “modelo de negocio” de Ransomware as a Service (Raas).
En otras naciones como Argentina, Guatemala y Perú se han registrado “olas” de ataques a lo largo del último año. En contraste, en países como Brasil, Chile, República Dominicana, México y Panamá, los ataques de ransomware se redujeron respecto al año pasado, sin que esto signifique que la amenaza haya desaparecido ni que el escenario pueda modificarse en el corto plazo.
“Se trata de familias de ransomware impactando exclusivamente a países de América Latina”, comentó Marc Rivero, analista senior de ciberseguridad de Kaspersky. “En la región ha prosperado el negocio de Ransomware as a Service, el cual opera como una industria formal, con “empleados” de distintos niveles que se dedican 24/7 a estudiar a sus posibles víctimas y planificar ataques. El avance y profesionalización de este delito tiene una explicación: el ransomware puede mover más dinero que otras actividades ilícitas, como la venta de armas o el tráfico de personas”, subrayó.
Este modelo de negocio consiste en que operadores de ransomware ofrecen herramientas a actores maliciosos interesados -que no necesariamente tienen grandes conocimientos técnicos- para que puedan iniciar una campaña de ransomware contra una víctima. Esto sucede al contratar la creación de malware como un servicio o tras la posibilidad de sumarse a través de un programa de afiliados para distribuir una familia de ransomware a cambio de un porcentaje de las ganancias. Éstas se reparten en 70% para el afiliado y 30% para el desarrollador cuando los ataques tienen éxito y los delincuentes reciben un pago de la víctima.
En América Latina, las cinco familias más comunes de ransomware son Trojan.Ransom.Win 32.Wanna, Trojan.Ransom.Win32.Stop, Trojan.Ransom.Win 32.Blocker, Trojan.Ransom.MSIL.Blocker y VHO.Trojan.Ransom.Win 32.Convagent, todos ellos encryptors, es decir, que como su nombre lo dice, encriptan los datos de sus víctimas.
Otra tendencia que merece atención y que forma parte de los pronósticos para el próximo año es el uso del Ransomware destructivo, que tiene el único propósito de dañar recursos de las instituciones como ha ocurrido con HermeticRansom que fue detectado a inicios de 2022. “Ello obliga a todo tipo de instituciones a redoblar las medidas de ciberseguridad”, recomienda el analista de Kaspersky.
Para más información sobre el ransomware y otros temas de ciberseguridad, visite nuestro blog.
