Grupo de ransomware deja de aceptar Bitcoin para no ser rastreado

Tal es el caso del grupo de ransomware Sodinokibi/REvil, que apareció alrededor de marzo de 2019. El malware de este grupo suele atacar solo a empresas, pues los rescates, hasta ahora siempre solicitados en BTC, suelen ir desde 2.500 hasta varios millones de dólares, según sea la víctima. Uno de sus ataques más sonados se dio a principios de este año a la compañía de intercambio de divisas Travelex. Todos sus sistemas quedaron secuestrados por el equipo de Sodinobiki, lo cual afectó a sus miles de clientes en todo el mundo. Para entonces, la nota de rescate llegó a solicitarles hasta 6 millones de dólares en bitcoins y, según rumores, Travelex llegó a pagar al menos tres a cambio de los datos de sus usuarios, también en manos de los hackers. En un futuro no muy lejano, ese mismo rescate para otras víctimas se exigirá en la criptomoneda Monero (XRM), tal como anunció el propio grupo a través de un foro de hackers. Bitcoin será eliminado como método de pago, porque puede ser fácilmente rastreable. Entre tanto, el grupo ha migrado a Monero como moneda predeterminada de pago en la red Tor, y quienes quieran pagar con BTC, pagarán un 10% adicional. Esta decisión por parte de los hackers nace del hecho de que, pese a los mitos, Bitcoin jamás ha sido una moneda anónima. De hecho, es más transparente que una cuenta bancaria: si se conoce la dirección o el hash de una transacción, cualquiera puede recurrir a un explorador de bloques para verificar los movimientos financieros de esa cuenta, de principio a fin, con horas y fechas. Monero, en cambio, permite la revisión de sus direcciones solo para las partes involucradas en una transacción; por lo que incluso la Europol la ha declarado como imposible de rastrear si se usa en combinación con el navegador privado Tor. Y el grupo Sodinokibi planea aprovechar muy bien esto:

“La combinación del navegador anónimo Tor y Monero puede hacer que la actividad financiera de una persona sea completamente invisible para la policía y las agencias gubernamentales. Estamos extremadamente preocupados por el anonimato y la seguridad de nuestros anuncios, por lo que comenzamos una transición “forzada” del BTC a Monero. En este sentido, les informamos que después de un tiempo se eliminará el BTC como método de pago. Las víctimas deben comenzar a comprender la nueva criptomoneda, así como a otras partes interesadas que trabajan con nosotros”.

Ransomware en tiempos de coronavirus

A pesar de que el racionamiento (criminal) del grupo Sodinokibi sobre BTC y XMR es verdadero, aún la gran mayoría de los programas ransomware solicitan sus rescates solo en BTC. La razón para ello es, quizás, que Bitcoin tiene más opciones de cambio y resulta más sencillo de usar que Monero. En todo caso, este tipo de malware no se ha detenido en esta época de pandemia, sino que los hackers están aprovechando la situación para sacar más beneficios. Así, un nuevo ransomware titulado, precisamente, “Coronavirus”, ha estado esparciéndose entre usuarios desafortunados a través de una página falsa de la aplicación WiseCleaner de Windows. Otro de ellos, esta vez dirigido al sistema operativo Android, finge ser una aplicación que permite mapear el COVID-19 en tiempo real. Denominado “CovidLock”, Costa Rica ha sido uno de los países más afectados. Por otra parte, varios grupos de ransomware han prometido no atacar a hospitales y centros médicos durante la pandemia. Lamentablemente son la minoría, pues ya un laboratorio en República Checa y varios hospitales en España han sufrido este ciberataque en plena crisis. Como usuarios individuales, lo mejor que podemos hacer es mantener nuestros sistemas actualizados y protegidos con antivirus y no realizar descargas riesgosas. Ahora bien, como empresa, es importante contar con un profesional que se encargue de mantener cada aspecto del sistema seguro y educar a todos los empleados en ciberseguridad básica, cuanto menos. Solo tomando estas precauciones podremos evitar que nuestros equipos alguna vez lleguen a infectarse por ransomware.