Los ciberdelincuentes suponen una gran amenaza en el panorama actual, especialmente cuando se trata de grupos de bajo perfil. Colectivos de reducido tamaño, que operan en los márgenes y que suelen atacar a organizaciones menos protegidas como las pymes. Así fue como consiguieron su éxito LockBit o BlackCat, hasta que finalmente se convirtió en una amenaza de mayor envergadura.
Precisamente, hay que desconfiar de las bandas de ransomware de bajo perfil porque son muy imprecisas. Todo ello es como consecuencia de que carecen de recursos y notoriedad, recurriendo a tácticas rudimentarias (en muchos casos a amenazas vacías), pero consiguiendo un gran efecto entre los usuarios.
¿Cómo operan?
Las bandas de ransomware de bajo perfil suelen recurrir a tácticas simples: explotar vulnerabilidades conocidas, credenciales comprometidas o ataques de fuerza bruta. No obstante, aún así, pueden causar interrupciones notorias y pérdidas financieras importantes.
Las pymes son los principales objetivos de estos grupos debido a que mantienen defensas más bajas y son sinónimo de pagos más rápidos, además de una visibilidad limitada. De hecho, un informe del Centro de Recursos contra el Robo de Identidad (ITRC) detectó que el 73% de los propietarios de pymes de EEUU reportaron ataques cibernéticos en 2023.
Las pymes son instituciones que poseen defensas más bajas, con medidas de ciberseguridad insuficientes (como firewall, sistemas de detección de intrusos o carencia formativa). Todo ello genera vulnerabilidades explotables para unos atacantes menos equipados.
Su táctica de reextorsión, exigiendo pagos adicionales después de pagar un rescate inicial, arroja a las organizaciones víctimas a un ciclo de perturbación e incertidumbre. De este modo, hace que sus víctimas pierdan tiempo y recursos para negociar con un acto poco confiable, que podría derivar en ataques futuros capaces de obstaculizar operaciones rutinarias.
Sus principales características
Un estudio reciente revela entre sus rasgos identificativos destaca el hecho de usar el anonimato como escudo. A diferencia de los grupos de Ransomware como Servicio (RaaS), son grupos inmaduros que operan en la sombra y los cuales resultan más difíciles de rastrear y de advertir a sus víctimas.
Además, emplean tácticas muy simples. No obstante, pese a ser bandas de ransomware de bajo perfil logran engañar a sus víctimas recurriendo al hecho de explotar vulnerabilidades conocidas, credenciales comprometidas o ataques de fuerza bruta. Pese a todo, también pueden recurrir a ataques menos exhaustivos.
Otro aspecto a tener en cuenta es que las bandas de ransomware de bajo perfil cuentan con recursos y alcance limitado, pues carecen de la infraestructura necesaria para emprender determinadas operaciones. No obstante, no significa que sean grupos con escasa preparación técnica.
Sus herramientas suelen ser de peor calidad y pueden utilizar cepas de ransomware fácilmente disponibles, generalmente dependientes de canales de comunicación no dedicados como el email o Telegram. Así es cómo se sirven de infraestructuras ya construidas por grupos conocidos con anterioridad.
Suele darse la circunstancia de que los grupos de ransomware menos maduros pueden extorsionar muchos pagos más pequeños, en lugar de buscar rescates masivos de empresas más grandes. De ahí que se apoyen en las pymes. Al fin y al cabo, son pagos más rápidos con menos riesgos, ya que no se poseen los recursos necesarios para negociaciones prolongadas o tácticas de extorsión demasiado complejos.
Al poseer visibilidad limitada, les permite operar de forma que pasan desapercibidos por las fuerzas del orden e ir repitiendo sus amenazas contra múltiples víctimas antes de levantar señales de alerta.
La mejor defensa
En cualquier caso, las pymes con menos recursos y defensas más bajas, consideradas víctimas potenciales, deberán recurrir al apoyo de proveedores de servicios de seguridad gestionados externos (MSSP) para poder encontrar una solución estratégica que les haga ganar solidez defensiva.
De igual modo, recurrir a la implementación de medidas de seguridad básicas como contraseñas seguras, autenticación multifactorial, parches periódicos, copias de seguridad sólidas y la capacitación en concienciación sobre seguridad para reducir el riesgo de ser víctima de ataques son esenciales.
Sin duda, las bandas de ransomware de bajo perfil han ido experimentando un crecimiento paulatino en el panorama actual, evolucionando constantemente, ante la necesidad crítica que tienen las empresas de implantar un enfoque de ciberseguridad de múltiples capas.
De este modo, los titulares podrán centrarse en las vulnerabilidades de las operaciones de ransomware establecidas, a menudo subestimadas, especialmente para todas aquellas organizaciones que no se encuentran lo suficientemente preparadas para un ataque a gran escala.
No hay mejor defensa que un buen ataque, pero también desconfiar de cualquier grupo de actividad, independientemente de su envergadura o poder. De ahí que sea fundamental identificarlos en primer lugar, para posteriormente elaborar una estrategia de defensa integral. De esta forma, las empresas más pequeñas podrán, sin ningún problema, reducir el riesgo de ser víctimas susceptibles de las bandas de ransomware de bajo perfil. Una manera efectiva de demostrar que pasar desapercibidos no siempre reporta grandes éxitos.
