Análisis-Los ataques rusos de ransomware contra Ucrania se ven mitigados por las filtraciones y los problemas de los seguros

Las advertencias de que las bandas prorrusas de ransomware colapsarían las redes de Ucrania y sus aliados no se han materializado hasta ahora, en medio de la desorganización del submundo criminal que suele estar detrás de esos ataques y del temor a que las aseguradoras no paguen.

Conti, uno de los grupos de cibercrimen con sede en Rusia más conocidos por utilizar ransomware para extorsionar millones de dólares a empresas estadounidenses y europeas, anunció su "apoyo total" al gobierno del presidente Vladimir Putin la semana pasada, una posición de la que se retractó más tarde al ser ellos mismos víctimas de una filtración.

"No nos aliamos con ningún gobierno y condenamos la guerra en curso", dijo el grupo en una declaración posterior en su sitio web.

Horas después, apareció una cuenta de Twitter llamada "ContiLeaks", que publicó lo que decía que eran registros de chats internos del grupo criminal.

Los chats secretos fueron filtrados por un investigador de ciberseguridad ucraniano, según Vitali Kremez, director ejecutivo de la empresa de ciberseguridad AdvIntel, con sede en Florida, y Alex Holden, fundador de Hold Security, con sede en Wisconsin. Reuters no pudo verificar de forma independiente la autenticidad del material.

Kremez y Holden dijeron que ambos estaban en contacto con el investigador, pero que éste no deseaba hablar con los medios de comunicación porque todavía estaba en Ucrania.

Según Kremez, el investigador tuvo acceso a los registros durante algún tiempo, pero el detonante para hacerlo público fue la decisión de Conti de jurar lealtad a Moscú cuando las fuerzas rusas invadieron Ucrania.

"Se sintió ofendido por lo que dijeron", dijo a Reuters.

En los meses previos a la invasión de Ucrania por parte de Putin, las agencias de inteligencia occidentales advirtieron del caos provocado por un "desbordamiento" destructivo de cualquier posible ciberataque ruso a la infraestructura nacional de Ucrania.

El mes pasado, el grupo Conti estuvo involucrado en ataques de alto perfil contra KP Snacks, un fabricante de populares aperitivos salados británicos, y al menos una empresa de almacenamiento de petróleo que provocó retrasos en algunos envíos de petróleo europeos.

PROBLEMAS DE SEGUROS

El presidente del Comité de Inteligencia del Senado estadounidense, Mark Warner, dijo que los principales grupos de piratas informáticos rusos identificados por Estados Unidos -el Equipo A, como lo llamó- no habían sido utilizados en un ciberataque importante desde la invasión. "No parece que se hayan activado", dijo a Reuters el lunes.

El domingo, una segunda banda notoria de ransomware llamada Lockbit, que los expertos en ciberseguridad también creen que tiene miembros en Rusia, publicó un comunicado declarando su neutralidad en el conflicto con Ucrania.

"Para nosotros es sólo un negocio y somos apolíticos. Sólo nos interesa el dinero para nuestro inofensivo y útil trabajo", dijo el grupo en su página web.

"Nunca, bajo ninguna circunstancia, participaremos en ciberataques contra infraestructuras críticas de ningún país del mundo ni nos involucraremos en ningún conflicto internacional".

Una de las razones podría ser una laguna en las pólizas de seguro de ciberseguridad.

Los expertos y los observadores del sector afirman que las bandas de extorsión digital más sofisticadas tienden a centrarse en las organizaciones aseguradas porque las víctimas ya tienen una póliza para realizar el pago, lo que hace menos probable que negocien un rescate menor o se nieguen a pagar.

Pero las pólizas de seguro suelen tener exclusiones para lo que se describe como un "evento de fuerza mayor", como un acto de guerra.

El precedente legal en torno a lo que significa exactamente eso aún está en desarrollo, pero un ciberataque reivindicado por una banda alineada con una potencia beligerante como Rusia podría entrar fácilmente en esa categoría, dijo Holden, de Hold Security.

"En los ataques de ransomware, la mayoría de las empresas llaman a su aseguradora de ransomware", dijo. "Se puede imaginar que las aseguradoras dirán: 'fuerza mayor' o 'este es un caso de guerra - no lo cubriremos'".

También hay otras razones. Muchas bandas están centradas en ganar dinero y -aunque sus miembros no estén interesados en salir de Rusia- se cuidan de atraer la atención negativa que supone aliarse abiertamente con un Estado hostil.

"Nuestro gobierno empezaría a designarlos como combatientes enemigos o terroristas", dijo Holden.