Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
Solicitar una demostración
en
Buscar en
Buscar en
Perspectivas
18 de julio de 2024

Verano de Ransomware : Los ataques se han recrudecido, pero también la respuesta mundial

TRM InsightsPerspectivas
Verano de Ransomware : Los ataques se han recrudecido, pero también la respuesta mundial

Este verano hemos asistido a una oleada de ataques de ransomware contra empresas muy diversas, desde las de telecomunicaciones hasta las de automoción. Este es el resumen:

  • Ataques Ransomware contra CDK Global -un importante proveedor de soluciones de software para concesionarios de automóviles- y el gigante de las telecomunicaciones AT&T.
  • Según se informa, en ambos casos, los pagos de los rescates se realizaron en criptomoneda, y fueron rastreados por TRM hasta conocidos actores de ransomware .
  • Desde el ataque de 2021 a Colonial Pipeline, hemos asistido a una respuesta mundial a la epidemia de ransomware .
  • Dado que los pagos se realizan en criptomonedas, las fuerzas de seguridad, utilizando Inteligencia en Blockchain, pueden rastrear los pagos de rescates y desarticular grupos de ransomware como LockBit.

{{línea horizontal}}

Ransomware es un tipo de software malicioso (malware) que cifra los archivos de una víctima, haciéndolos inaccesibles. A continuación, el atacante exige un rescate, que suele pagarse en criptomoneda, a cambio de la clave de descifrado necesaria para restaurar el acceso a los datos. Ransomware puede propagarse a través de correos electrónicos de phishing, descargas maliciosas o aprovechando vulnerabilidades del software.

En los últimos años, hemos asistido a la proliferación del ransomware como ransomware(RaaS ), que ha reducido significativamente la barrera de entrada de los actores maliciosos. RaaS es un modelo de negocio utilizado por los ciberdelincuentes que permite a los atacantes no técnicos desplegar ataques de ransomware con el mínimo esfuerzo. En este modelo, los desarrolladores experimentados de ransomware crean el software malicioso y lo ofrecen a los afiliados, que lo utilizan para ejecutar los ataques. A cambio, los desarrolladores reciben una parte de los pagos de los rescates. Las características clave de RaaS incluyen una interfaz fácil de usar, reparto de beneficios, soporte y actualizaciones, y anonimato y accesibilidad habilitados para la darknet. Algunos ejemplos de plataformas RaaS son ReVil, Darkside y LockBit.

Un 2024 ajetreado para los ataques y las victorias del ransomware

Así que vamos a sumergirnos en este verano. 

CDK Global

En junio, CDK Global, un importante proveedor de soluciones de software para concesionarios de automóviles, sufrió dos importantes ataques de ransomware atribuidos a la banda de ransomware BlackSuit. Este doble ataque afectó a miles de concesionarios de automóviles en toda Norteamérica, afectando a su capacidad para llevar a cabo operaciones normales como el servicio de vehículos, ventas, gestión de inventario y aplicaciones de financiación. 

Chris Janczewski, Jefe de Investigaciones Globales de TRM, confirmó a CNN que el 21 de junio, unos 387 bitcoins -entonces el equivalente a unos 25 millones de dólares- fueron enviados a una cuenta de criptomoneda controlada por ciberdelincuentes afiliados a un tipo de ransomware llamado BlackSuit. El Sr. Janczewski no identificó quién envió el pago, pero, según la CNN, otras tres fuentes que siguieron de cerca el incidente confirmaron que se había efectuado un pago de aproximadamente 25 millones de dólares a afiliados de BlackSuit, y que CDK era muy probablemente la fuente de ese pago.

AT&T

La semana pasada, AT&T reveló que unos piratas informáticos habían robado los registros de llamadas de decenas de millones de clientes y que la empresa había pagado a un miembro del equipo de piratas informáticos más de 300.000 dólares para que borrara los datos y proporcionara un vídeo que demostraba la prueba de la eliminación.

Según un informe de Wired, el propio hacker -parte del conocido grupo de piratas ShinyHunters- proporcionó a Wired las direcciones de las criptomonedas que enviaron y recibieron el pago del rescate. Janczewski, de TRM, confirmó a Wired que se había producido una transacción por valor de unos 5,72 bitcoins (el equivalente a 373.646 dólares en el momento de la transacción), y que el dinero se había blanqueado a través de varias bolsas y monederos de criptomonedas, pero dijo que no había indicios de quién controlaba los monederos.

Cambiar la asistencia sanitaria

Además, en el primer semestre de 2024 se produjeron otros ciberataques y ataques de ransomware de gran repercusión, como el de Change Healthcare, que afectó a la seguridad de los datos del sector sanitario y paralizó farmacias de todo Estados Unidos, incluidas las de los hospitales. El grupo de ransomware que perpetró el ataque, conocido como AlphV o BlackCat, recibió una transacción de 22 millones de dólares tras el ataque. TRM relacionó la dirección Bitcoin que recibió el pago de 22 millones de dólares con los piratas informáticos de AlphV y vinculó la dirección a los pagos de otras dos víctimas de AlphV.

La interrupción de LockBit

Este año también ha habido éxitos. En febrero, la Agencia Nacional contra la Delincuencia del Reino Unido, elDOJ Department of Justice de Estados Unidos, el FBI y Europol anunciaron la desarticulación del conocido grupo de ransomware LockBit y el desmantelamiento de la infraestructura de su sitio web asociado.

https://cdn.prod.website-files.com/6082dc5b670562507b3587b4/65d48dcfdc1c0d4d0c7719fd_unnamed (11).png

LockBit es uno de los grupos de ransomware más prolíficos del mundo. El grupo ha tenido un impacto sin precedentes en empresas e infraestructuras críticas de todo el mundo, utilizando un modelo Ransomware(RaaS) para llevar a cabo miles de ataques y extorsionar a las víctimas para que paguen grandes rescates en criptomoneda. A través del análisis en cadena, TRM estima que las direcciones controladas por los administradores y afiliados de LockBit han recibido más de 160 millones de GBP (o 200 millones de USD) en bitcoin desde 2022, de los cuales más de 85 millones de GBP (o 110 millones de USD) aún no se han gastado en múltiples direcciones en cadena.

La respuesta mundial

Desde el histórico atentado contra Colonial Pipeline en 2021, hemos asistido a una respuesta gubernamental global.

Estados Unidos

El Department of Justice de EE.UU. creó una Unidad Cibernética NatSec especializada y un Grupo de Trabajo Ransomware , y ha llevado a cabo enérgicas acusaciones y detenciones relacionadas con bandas de ransomware como REvil y LockBit. El Departamento del Tesoro de EE.UU. ha utilizado sanciones contra bolsas de criptomonedas rusas que no cumplían las normas, como Suex y Chatex, que se descubrió que facilitaban los pagos de ransomware . Además, las fuerzas de seguridad estadounidenses y mundiales se han asociado con entidades del sector privado como TRM Labs para iniciativas de intercambio de información como el proyecto IVAN.

Unión Europea

La UE ha puesto en marcha una estrategia global de ciberseguridad que incluye medidas para mejorar las capacidades de ciberseguridad de los Estados miembros, fomentar el intercambio de información y apoyar la cooperación transfronteriza en la lucha contra el ransomware. Además, la Ley de Ciberseguridad de la UE establece un marco para la certificación de productos y servicios de ciberseguridad, con el objetivo de mejorar la seguridad de los productos y redes digitales en toda Europa.

Reino Unido

El Reino Unido ha creado el Centro Nacional de Ciberseguridad, que ofrece orientación, apoyo y recursos a las organizaciones para defenderse de los ataques de ransomware . También colabora con socios del sector para mejorar la situación general de la ciberseguridad en el Reino Unido.

Australia

El gobierno australiano ha puesto en marcha un Plan de Acción Ransomware que incluye medidas para aumentar las sanciones por ataques de ransomware , mejorar las normas de ciberseguridad y promover el intercambio de información entre el gobierno y el sector privado. Además, Australia ha creado Centros Conjuntos de Ciberseguridad para facilitar la colaboración entre el gobierno, la industria y el mundo académico con el fin de compartir información sobre amenazas y desarrollar estrategias para combatir el ransomware.

Colaboración internacional

Estados Unidos, a través de la Iniciativa contra Ransomware , ha liderado los esfuerzos para formar coaliciones internacionales con otros países para combatir el ransomware mediante el intercambio de inteligencia, la coordinación de las acciones policiales y el establecimiento de normas mundiales de ciberseguridad. Además, Estados Unidos, Europa y el Reino Unido se han comprometido con las naciones del G7 y los aliados de la OTAN para hacer frente a las amenazas del ransomware , haciendo hincapié en la defensa colectiva y las respuestas coordinadas. Organismos como INTERPOL y Europol también coordinan los esfuerzos internacionales de aplicación de la ley para desbaratar las redes de ransomware , compartir información y apoyar las operaciones dirigidas contra los operadores de ransomware . Por último, en cuanto al pago de rescates, en octubre de 2023, cuarenta países firmaron un compromiso de no pagar nunca rescates a los ciberdelincuentes como parte de la Iniciativa Internacional contra Ransomware liderada por la Casa Blanca.

Blanqueo de capitales procedentes del ransomware

El año pasado, el Grupo de Acción Financiera Internacional (GAFI), organismo internacional de referencia en la lucha contra el blanqueo de capitales y la financiación del terrorismo, publicó su primer informe específico sobre el ransomware, en el que se exponía la naturaleza de la amenaza, las tipologías de blanqueo de los pagos de rescate y se ofrecían recomendaciones sobre cómo debían responder los países.

En cuanto al blanqueo de los rescates, el informe destaca que el pago y posterior blanqueo de los ingresos del ransomware se realiza "casi exclusivamente a través de activos virtuales". En él se constata que Bitcoin representa el 99% de los pagos, y Monero el resto.

El informe enumera los siguientes aspectos comunes del blanqueo de dinero del ransomware :

  • El uso de tecnologías, técnicas y fichas que mejoran el anonimato, como las cadenas de pelado, para ocultar el origen de los fondos. Las peel chains utilizan varias cuentas intermediarias para mover fondos, desviando cada vez una pequeña cantidad a otra cuenta.
  • El papel de los mezcladores y las monedas de privacidad en el blanqueo de dinero: sin embargo, como se ha señalado anteriormente, la mayoría de los pagos se realizan en Bitcoin. Según TRM, aunque bitcoin es la principal criptodivisa utilizada para los pagos de ransomware , BTC se convierte a menudo en otros tipos de criptodivisas durante el proceso de blanqueo a través de puentes e intercambios no custodiados.
  • El uso limitado (pero tal vez creciente) de protocolos DeFi para estratificar los fondos del ransomware antes de pasar a la moneda fiduciaria.
  • Uso común de proveedores de servicios de activos virtuales (VASP) en jurisdicciones de alto riesgo con niveles más bajos de controles KYC para desviar fondos.
  • Por último, el uso de mulas de dinero -individuos que gestionan transacciones en nombre de otros- para establecer cuentas con el fin de blanquear dinero para grupos delictivos.

Veamos ahora cómo un grupo de ransomware blanquea el pago de rescates.

LockBit: una inmersión en el blanqueo de los pagos de rescates

 El análisis de TRM de la actividad en la cadena de LockBit proporciona información adicional sobre la actividad financiera de los grupos de ransomware . Históricamente, LockBit ha utilizado Bitcoin como criptomoneda principal para facilitar el pago de rescates. Pero el grupo también ha recurrido a opciones de pago con privacidad mejorada, como ZCash, tanto para cobrar a las víctimas como para pagar a sus afiliados.

El análisis en cadena de la actividad de LockBit pone de relieve la estructura operativa del grupo, en la que los pagos iniciales de rescate de las víctimas sufren una división financiera: el 80% va a la filial de LockBit y el 20% a los administradores de LockBit. Posteriormente, los operadores de LockBit han utilizado Wasabi 2.0 para mezclar fondos, y múltiples intercambios no custodiados y VASP centralizados en Estados Unidos y Asia para blanquear los fondos de las víctimas.

Gráfico de TRM que muestra los pagos iniciales del rescate y el reparto financiero 80/20 entre los afiliados de LockBit y los administradores‍.
Gráfico de TRM que muestra el blanqueo del pago de un rescate de 13 millones de dólares a través de múltiples proveedores de servicios de valor añadido.
Gráfico de TRM que muestra el blanqueo del producto de los rescates mediante múltiples cobros menores en múltiples VASP.

El papel de Inteligencia en Blockchain en la disrupción del ransomware

Aunque hemos sido testigos de una serie de interrupciones en los últimos meses, la oleada de ataques de este verano nos indica que los actores ransomware ransomware seguirán atacando a una miríada de empresas y evolucionando sus tácticas. Además, dado que se prevé que la IA sea un catalizador para que los ataques de ransomware sean más sofisticados y eficientes, es posible que veamos un número cada vez mayor de ataques. Cuando esto ocurra, la ciberseguridad reforzada, la cooperación mundial y la capacidad de rastrear los pagos serán fundamentales.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
5 de julio de 2024

Los robos por ataques y exploits de criptomonedas aumentan en el primer semestre de 2024

flecha derecha
7 de mayo de 2024

Las autoridades estadounidenses y británicas identifican, sancionan y levantan acta de acusación contra el líder del grupo de Ransomware LockBit

flecha derecha
14 de marzo de 2023

GAFI Publica un informe crucial sobre Ransomware 

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Estudio de caso
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Lea el estudio de caso
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME