Una empresa de Fortune 50 pagó a sus ciberatacantes 75 millones de dólares a principios de este año, una cantidad mucho mayor que cualquier otro pago de rescate confirmado en la historia. El destinatario de este pago es un grupo llamado Dark Angels. Y Dark Angels no solo es efectivo: en cierto modo, la pandilla le da la vuelta a gran parte de lo que pensábamos que sabíamos sobre el ransomware.
Por supuesto, en el pasado se han pagado otras grandes sumas: en 2021, CNA Financial, con sede en Illinois, supuestamente pagó una cantidad sin precedentes en ese momento. Un rescate de 40 millones de dólares para restaurar sus sistemas después de un ataque de ransomware (la empresa nunca ha confirmado esta cifra). Más tarde ese año, el fabricante de carne JBS admitió haber pagado 11 millones de dólares poner fin a una perturbación que afecta a sus fábricas. El Caesars Palace pagó 15 millones de dólares el año pasado para eliminar sus problemas de interrupción debido al ransomware.
Pero esas cifras palidecen en comparación con los 75 millones de dólares en equivalente de Bitcoin pagados por la gran organización antes mencionada, que Zscaler decidió mantener en el anonimato en su informe de 2024. informe anual de ransomwaredonde se registró por primera vez el pago. El monto en dólares también fue corroborado por Chainalysis.
Conoce a los ángeles oscuros
Los Dark Angels aparecieron por primera vez en la naturaleza en mayo de 2022. Desde entonces, su especialidad ha sido eliminar menos objetivos, pero de mayor valor, que sus homólogos de ransomware. Las víctimas anteriores incluyen varias empresas del S&P 500 en diversas industrias: atención médica, gobierno, finanzas, educación, manufactura, telecomunicaciones y más.
Por ejemplo, el año pasado el ataque al megalito Johnson Controls International (JCI) fue noticia. Violó los derechos de la empresa. Hipervisores VMware ESXicongelarlos con Ragnar Locker y robar un reportado 27 terabytes de datos. El rescate exigido: 51 millones de dólares. No está claro cómo respondió Johnson Controls, pero, dada su Un esfuerzo de limpieza valorado en más de 27 millones de dólareses probable que la empresa no cediera.
27 millones de dólares habrían sido el segundo pago de rescate más grande de la historia en ese momento (después del pago de la CNA). Pero hay evidencia que sugiere que esto no fue sólo una táctica de negociación descabellada – y que los Ángeles Oscuros tienen buenas razones para creer que pueden lograr este tipo de toma.
Dark Angels hace ransomware de manera diferente
Olvídese de todo lo que sabe sobre ransomware y comenzará a comprender a los Ángeles Oscuros.
Yendo contra la corriente, el grupo no opera un negocio de ransomware como servicio. Tampoco tiene su propia variedad de malware: prefiere tomar prestados cifradores como El casillero de Ragnar Y babuk.
En realidad, su éxito depende de tres factores principales. Primero, la cautela que muestra al atacar menos objetivos y de mayor rendimiento.
En segundo lugar, es capaz de extraer cantidades considerables de datos confidenciales. Como explica Brett Stone-Gross, director senior de inteligencia de amenazas de Zscaler, “si nos fijamos en muchos de estos otros grupos de ransomware, sus afiliados están robando quizás unos pocos cientos de gigabytes de datos. A veces incluso menos de 100 gigabytes de datos. Por lo general, alcanzan un máximo de alrededor de un terabyte. Por el contrario, los Ángeles Oscuros roban decenas de terabytes de datos. »
En esto, los Ángeles Oscuros se distinguen sólo por su grado, no por su naturaleza. Lo que realmente los diferencia de otras bandas es su sutileza. Su sitio de fuga no es llamativo. No hacen grandes afirmaciones sobre sus últimas víctimas. Aparte de las ventajas obvias del sigilo en términos de seguridad operativa (han escapado en gran medida a la atención de los medios en los últimos años, a pesar de importantes violaciones), su aversión a ser el centro de atención también les permite obtener retornos de inversiones más grandes.
Por ejemplo, el grupo a menudo evita cifrar los datos de las víctimas, con el objetivo específico de permitirles continuar operando sin interrupciones. Esto parece desafiar la sabiduría común. ¿No son la amenaza de interrupción del servicio y el monitoreo de los medios herramientas efectivas para obligar a las víctimas a pagar?
«Se podría pensar que sí, pero los resultados dicen lo contrario», sugiere Stone-Gross.
Con Dark Angels, pagar el rescate es sencillo y discreto, lo que supone una perspectiva atractiva para las empresas que simplemente quieren dejar atrás sus vulnerabilidades de seguridad. Y evitar la interrupción del negocio es mutuamente beneficioso: sin las elevadas facturas asociadas con el tiempo de inactividad, las empresas tienen más dinero para pagar a los Ángeles Oscuros.
¿Se pueden cortar las alas de los Ángeles Oscuros?
En su informe, Zscaler predice que «otros grupos de ransomware tomarán nota del éxito de los Ángeles Oscuros y podrían adoptar tácticas similares, centrándose en objetivos de alto valor y aumentando la importancia del robo de datos para maximizar sus ganancias financieras».
Si esto sucediera, las empresas enfrentarían demandas de rescate mucho mayores, pero también más restrictivas. Afortunadamente, el enfoque de los Ángeles Oscuros tiene un talón de Aquiles.
«Si se trata de un terabyte de datos, [a hacker] “Probablemente podamos completar esta transferencia en unos días. Pero cuando hablamos de terabytes (ya sabes, decenas de terabytes de datos) ahora hablamos de semanas”, señala Stone-Gross. Así que las empresas que puedan atrapar a los Ángeles Oscuros en el acto podrían detenerlos antes de que sea demasiado tarde.
