El cibercrimen está trabajando como un negocio maduro con los engranajes bien engrasados. Esto es algo que ya se conocía. Pero ahora conocemos el sorprendente modelo de negocio de uno de los ransomware más populares del último año, GanCrab. Un caso que vas más allá del ransomware, ya que es capaz de descargar malware y troyanos en el equipo infectado.

“Hemos descubierto que tienen una estructura basada en afiliados”, explica Raj Samani, Chief Scientist de McAfee.

«Los desarrolladores del software malicioso no son los mismos que lo difunden», señala el experto. Estos se encargan de desarrollar nuevas versiones y actualizar el software, mientras que los que trabajan en colocar el producto en los equipos de las víctimas son los denominados afiliados. Trabajan para los creadores del ransomware y se llevan una comisión por cada víctima que consiguen, y paga el rescate.

afiliados: Cuantas más infecciones logrAn, más dinero se llevan

McAfee ha llevado a cabo una investigación sobre el funcionamiento de la organización detrás del ransomware GanCrab para llegar a estas conclusiones. En esta estructura, los afiliados no necesitan tener habilidades técnicas, tan solo tienen que firmar el acuerdo de colaboración y comenzar a trabajar y distribuir el ransomware entre las víctimas.

Cuantas más infecciones logren conseguir, más dinero se llevan. “De esta forma, los creadores del ransomware tienen capacidad para desarrollar software nuevo muy rápido, en unos pocos días. Están desarrollando más características constantemente. Es uno de los retos más grandes que tenemos: su velocidad”, apunta Samani.

Para muestra, un botón: en tan solo un año, GanCrab cuenta ya con cinco versiones diferentes. Para cuando los investigadores de seguridad han dado con la tecla de una de las versiones, ellos ya están lanzando la siguiente.

Los afiliados cuentan con un panel de control en el que pueden ver las víctimas que han atacado, cuáles han tenido éxito, el dinero recaudado…“Necesitan contabilizar cada una de las infecciones, porque ese será su beneficio. Es un modelo de negocio. Tienen que saber qué afiliado ha infectado a la víctima, y si se le ha pagado”, explica el experto.

Para realizar esta investigación, McAfee analizó 280 muestras de GanCrab para identificar el afiliado que había infectado el equipo. Descubrieron que cada afiliado tenía un número de identificación diferente, que estaba presente en el código.

Pronto llegará el fin del ransomware como lo conocemos

Todos los estudios coinciden en que los datos relacionados con el ransomware – el software malicioso que cifra los archivos del equipo a cambio de un rescate – están cambiando.

“Después de Wannacry, la gente empezó a entender lo que era un ransomware, aprendieron que no era bueno pagar el rescate, y cada vez había menos personas pagando el ransomware. Así que el cibercrimen cambió sus técnicas”, señala Samani.

Un ejemplo de estos datos es que el número de nuevas familias de ransomware durante el último año ha disminuido. Y le están adelantando otro tipo de ataques como el cryptojacking.

No significa que vaya a desaparecer, ni mucho menos. Pero sí que está cambiando, evolucionando. Resurgiendo con un nuevo modelo.

«el cibercrimen nos lleva la delantera porque no pierden tiempo haciendo Power Points»

Antes, los ataques eran masivos: se enviaban piezas de ransomware a cuantas más potenciales víctimas, mejor. Ahora, los ataques son dirigidos a objetivos concretos. Es el ransomware dirigido. Al estar más dirigidos, también son más efectivos.

Asimismo, están aumentando los ataques basados en el vector RPD (Remote Desktop Protocol), una opción para controlar de forma remota un PC. Y este vector de ataque implica precisamente eso, que con las posibilidades actuales es como si estuvieran sentados frente al PC infectado.

“Para llevar a cabo el ataque dirigido, primero consiguen infectar la red, la analizan, la entienden… y después lanzan el verdadero ataque”, señala Samani.

Luchando contra el ransomware

“Nuestra competencia no son otros fabricantes de ciberseguridad, sino ellos”, afirma Samani, refiriéndose a estas complejas estructuras cibercriminales.

Si estas son cada vez más eficaces, están organizados, son muchos y se mueven con rapidez, y “el cibercrimen no pierde tiempo haciendo Power Points”… ¿Significa que estamos perdiendo la guerra? “No. Estamos teniendo respuestas y estamos siendo cada vez mejores”, señala, y pone como ejemplo una de las iniciativas en las que colaboran, nomoreransom.org

Como explicábamos en este post, se trata de un proyecto de colaboración público-privada donde se pone a disposición de los usuarios herramientas de descifrado de ransomware gratuitas. De hecho, algunas versiones de GanCrab se pueden descifrar.

En el tiempo que lleva activa la web, han ayudado a desbloquear 79.000 ordenadores y más de 22 millones de dólares salvados.

Deja un comentario