Poco se sabe sobre cómo operan las bandas de ransomware y cómo se estructuran sus operaciones. Tras realizar un análisis en profundidad de los chats filtrados de la banda Conti (una de las bandas de ransomware más peligrosas de todos los tiempos) que salieron a la luz el año pasado, los investigadores de seguridad publicaron un informe que proporciona información sobre un sindicato de ransomware moderno.
Curiosamente, el sindicato parece abarcar todos los elementos clave presentes en una estructura organizativa moderna, como el diseño del trabajo (requisitos o especificaciones del trabajo), la departamentalización (cómo coordinan el trabajo las distintas estructuras), la delegación (cómo se asignan o distribuyen los trabajos entre grupos y equipos), el alcance del control (número de personas que dependen de un responsable) y la cadena de mando (línea de autoridad).
Un modelo de negocio escalable y orientado al B2B
Llevar a cabo una operación de ransomware a tiempo completo requiere mucho capital y conocimientos especializados. Requiere que los actores de la amenaza creen, prueben y actualicen continuamente el malware, así como que gestionen la entrega, extorsión, negociación y transferencia del dinero. Por este motivo, la mayoría de los grupos de ransomware como Conti han pasado a un modelo de ransomware como servicio (RaaS), en el que las operaciones a gran escala se dividen en tareas especializadas que realizan varias partes de la cadena de ataque.
Las operaciones RaaS pueden dividirse en dos grupos principales: operadores y afiliados. Los operadores suelen ser trabajadores asalariados que crean y mantienen el malware, anuncian y venden el acceso a sus herramientas, y mantienen el portal de pago de las víctimas y el sitio de filtraciones en el que se publican los datos comprometidos. Los afiliados son trabajadores que aprovechan el malware y atacan y comprometen a las víctimas, además de gestionar las negociaciones.
Una startup de tamaño medio con una clara departamentalización
Se cree que Conti ha hecho 180 millones de dólares extorsionando a empresas en 2021, y los investigadores estiman que sus ingresos a lo largo de su vida ascienden a 2.700 millones de dólares (eso también en sólo un par de años de operaciones). Aunque la organización no se presenta extremadamente organizada, los investigadores observaron que cuenta con diferentes equipos divididos en áreas funcionales o departamentos.
Por ejemplo, el nivel directivo es responsable de asuntos como la contratación, las finanzas, las nóminas y otras responsabilidades presupuestarias e interdepartamentales. Los administradores de sistemas y desarrolladores de software garantizan el desarrollo continuo del malware y las funcionalidades relacionadas, así como el acceso ininterrumpido al funcionamiento general de RaaS. Las operaciones de acceso son personas encargadas de irrumpir en los entornos de las víctimas utilizando una serie de técnicas como el phishing, el robo de credenciales y la explotación de vulnerabilidades. La organización emplea a personas asalariadas para ello o subcontrata esta función a terceros (también conocidos como intermediarios de acceso inicial).
Trabajadores especializados delegados para una función específica
El sindicato recluta activamente a trabajadores con conocimientos especializados para funciones como desarrollador de malware (gestiona el desarrollo del malware), gestor de malware (contratación y formación de desarrolladores, pruebas de malware y adquisición de infraestructura), criptógrafos (se asegura de que el malware no sea detectado por los programas antivirus) y spammers (despliega el malware a través de campañas de phishing selectivas e indiscriminadas).
Aunque los colectivos RaaS suelen asociarse a funciones ilícitas, también necesitan personas que gestionen su infraestructura técnica. Como resultado, varios puestos de trabajo aparentemente legítimos, como programador C++ (con conocimientos de ingeniería inversa), desarrollador web full-stack para PHP, NodeJS, administrador de sistemas Windows, analista de datos, analista de negocio, diseñador UI/UX, diseñador HTML, etc., se anunciaron en los principales sitios web rusos de contratación.
Conti recluta abiertamente para funciones ilícitas como probadores de penetración (personas que saben cómo descubrir vulnerabilidades, piratear o eludir software de ciberseguridad y software de gestión de monitorización remota), pastores de bots (personas con su propia red de botnets) y spammers selectivos (personas especializadas en campañas de spear-phishing).
Una cadena de mando formal
De los chats de Conti se desprende que la operación está dividida en varios equipos o grupos. A cada grupo se le asigna un jefe de equipo (uno o dos, dependiendo del tamaño del grupo). Los jefes de equipo dependen de un gerente que parece supervisar el trabajo colectivo, administrar los salarios y aprobar los gastos para su reembolso. El gerente informa a un líder organizativo que parece ser el propietario de un área funcional de la operación. Por ejemplo, en una conversación entre dos individuos, uno pregunta si necesitan atacar la logística y el sector de fabricación. El otro responde que tienen un equipo dedicado exclusivamente a las empresas de defensa o militares.
El legendario filósofo militar chino Sun Tzu escribió: "Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas". En el contexto de la ciberseguridad, no sólo es importante que las organizaciones mejoren su conocimiento de su propia configuración, sus activos, sus usuarios, software, sistemas y puntos débiles, sino que también conozcan cómo operan sus adversarios y las tácticas y técnicas que utilizan para mantener secuestrada a una empresa.
Las organizaciones necesitan difundir este conocimiento entre sus partes interesadas, sus usuarios, empleados, socios y clientes para que ellos también permanezcan vigilantes y centrados, actuando como una sólida capa de defensa contra estos autores de la ciberdelincuencia.