La recopilación y el procesamiento de información fue un tema importante en la audiencia del Comité de Seguridad Nacional y Asuntos Gubernamentales del Senado de los Estados Unidos (HSGAC) titulada “Amenazas crecientes: ataques de ransomware y pagos de rescate habilitados por criptomonedas” el martes. El comité organizó un panel de expertos del sector privado que discutieron el problema de los ataques de ransomware y los desafíos de recopilar y usar la información necesaria para combatirlos.
El presidente del comité, Gary Peters de Michigan, quien presentó la Ley de Fortalecimiento de la Ciberseguridad Estadounidense en febrero, dijo que el gobierno carece de datos suficientes incluso para comprender el alcance de la amenaza que representan los ataques de ransomware. Los atacantes solicitan casi exclusivamente el pago en criptomonedas, agregó.
Se sacaron a relucir varias cifras para cuantificar el problema. El jefe de inteligencia de amenazas cibernéticas de Chainalysis, Jackie Burns Koven, dijo que la compañía había identificado un récord de $ 712 millones pagados a los atacantes en 2021, con el 74% del dinero destinado a actores de amenazas en Rusia o con vínculos a Rusia. El pago promedio fue de $121,000 y el pago medio fue de $6,000. Los atacantes suelen utilizar un modelo de negocio de ransomware como servicio.
Relacionado: Hacer que las criptomonedas sean convencionales mejorando las investigaciones de delitos relacionados con criptomonedas en todo el mundo
El ransomware es una forma de extorsión y existía antes de las criptomonedas, dijeron Megan Stifel, directora de estrategia del Instituto de Seguridad y Tecnología, y Bill Siegel, director ejecutivo de Coveware. Saber qué información recopilar cuando ocurre un ataque y cómo organizar la información es un desafío importante para las fuerzas del orden, agregó Siegel.
La recopilación de información a menudo es “un lío complicado en el peor momento posible”, dijo el miembro del comité James Lankford de Oklahoma. Múltiples agencias exigen datos superpuestos pero no idénticos de las víctimas del ataque después de este, y luego, el enjuiciamiento del caso podría llevar años. Esos factores, junto con las preocupaciones de que los atacantes no liberarán una clave de cifrado si se involucran las fuerzas del orden, explican gran parte de la vacilación de las víctimas a la hora de denunciar los ataques.
Stifel sugirió que designar una sola agencia para recibir y clasificar los datos después de un ataque mejoraría la recopilación de información, especialmente si las empresas establecieron una relación con esa agencia antes del ataque.
Koven dijo que el análisis de la cadena de bloques puede proporcionar “una visión inmediata de la red de direcciones y servicios de billetera (por ejemplo, intercambios, mezcladores, etc.) que facilitan al actor ilícito”, en contraposición a los largos procesos de investigación financiera tradicional.
Las sanciones del gobierno de EE. UU. impuestas a los actores de ransomware y sus facilitadores son muy efectivas, continuó Koven. Señaló las sanciones contra el intercambio de criptomonedas con sede en Rusia Garantex y el comerciante Suex como ejemplos. Los flujos de dinero “caen casi a cero” después de las sanciones, dijo. Además, el análisis de blockchain puede rastrear el cambio de marca de los atacantes, y Chainalysis ha desarrollado tecnología para rastrear fondos a través de mezcladores de criptomonedas.