Casi 900 millones en un año: así es Nefilim, el grupo cibercriminal que más dinero gana con el 'ransomware'

Entre sus objetivos solo figuran grandes empresas e instituciones públicas

28/06/2021
Actualizado 01/07/2021 a las 16:33h.

El ' ransomware ', es decir, el código capaz de cifrar archivos de la víctima para luego pedir un rescate, lleva años entre nosotros. Sin embargo, es ahora, en tiempos de pandemia, cuando los cibercriminales están consiguiendo sacarle más partido. Así lo demuestran los recientes ... ataques contra grandes empresas -como Colonial Pipeline , Acer o The Phone House - e instituciones públicas, como el SEPE o, más recientemente, el Ministerio de Trabajo . Según expertos consultados por este periódico, si antes los cibercriminales empleaban este código en ataques masivos -en los que igual se infectaba a un panadero que al director ejecutivo de una multinacional- ahora se emplean, sobre todo, en campañas dirigidas contra objetivos muy concretos y con capacidad económica. Dentro de esta tendencia, quizá el mejor ejemplo es el de Nefilim , un 'malware' (virus informático) que ha conseguido, en apenas un año, unos ingresos medios de 890 millones de dólares en rescates . Lleva activo desde principios de 2020.

«Es empleado por un grupo de cibercriminales rusos que, en el pasado, estuvieron relacionados con el desarrollo de otro 'malware'. Es un 'ransomware as a service', lo que implica que hay unos desarrolladores, que son los que han creado el código, y un grupo de afiliados que son los encargados de emplearlo para atacar a la víctima. Cuando consiguen que pague, se reparten el rescate. Un 70% va para los que atacan y un 30% para los creadores», cuenta a ABC David Sancho, jefe de análisis de amenazas de la empresa de ciberseguridad Trend Micro, que acaba de compartir un estudio pormenorizado sobre el 'malware'.

Según explican desde la firma, para conseguir rescates por valor de casi 900 millones de dólares entre marzo de 2020 y febrero de 2021 , el grupo cibercriminal se ha centrado en exclusiva en grandes empresas que tienen un valor superior a los 1.000 millones. No importa tanto que sea una energética, un banco o un oleoducto. Solo que cuente con capacidad económica. Las instituciones públicas tampoco se salvan . «Intentan proactivamente atacar a un objetivo concreto, y, una vez que lo consiguen, se toman su tiempo. Pueden dedicar días o meses incluso a encontrar los servidores interesantes. Van mejorando su acceso. Cuando llegan a donde quieren, roban información y luego la cifran para que la compañía no pueda acceder a ella», apunta Sancho.

Gracias al robo de la información, pueden extorsionar a la empresa con publicarla en Internet y, de este modo, forzarla a que paguen. «Utilizan la 'dark web' de tal forma que cualquier regulador pueda comprobar que los datos se han filtrado», prosigue el experto que, hace hincapié en que, actualmente, casi todos los 'ransomware' modernos se comportan de esta forma.

Los grupos de 'ransomware' que más dinero han ganado en el último año Trend Micro

Desde Trend Micro se señala que, a pesar de que en el pasado eran uno de los objetivos más interesantes, las pequeñas y medianas empresas cada vez despiertan menos interés en los grandes grupos cibercriminales dedicados a realizar este tipo de ataques. «Conllevan mucho esfuerzo. Estos ataques son muy manuales y, al final, si una pyme tiene una capacidad de pago que no es una burrada, al final los grandes grupos entienden que no les compensa», explica Sancho.

Fuera del radar

A diferencia de otros grandes grupos cibercriminales que han sonado con fuerza en los últimos meses -como REvil , al que se le estiman unas ganacias de 96 millones de dólares en el último año, o DarkSide, que ha conseguido cerca de 90 millones - Nefilim ha conseguido mantenerse fuera de las páginas de los periódicos intentando que sus ataques resulten discretos. «Para ellos, desde el punto de vista criminal, es poco productivo. Es mejor ir sacando medio millón de cada lado que pedir un gran rescate de una tacada y llamar la atención. Con eso consigues que todas las entidades policiales empiecen a investigarte más a fondo», dice el jefe de análisis de amenazas.