Los ciberdelincuentes se vuelven más exigentes en sus ataques de ransomware

Recomendados:  Informe global de ciberamenazas en 2021 Leer Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

El rescate medio pagado por las organizaciones aumentó de 115.123 dólares en 2019 a 312.493 dólares en 2020, un incremento interanual del 171%. Además, según el estudio de Palo Alto Networks, el rescate más alto pagado por una organización se duplicó de 2019 a 2020, pasando de 5 millones de dólares a 10 millones.

Sus equipos de inteligencia frente a amenazas y de respuesta ante incidentes, autores de este documento, destacan que las demandas de rescate de Maze en 2020 se situaron de media en 4,8 millones, una cifra muy superior a la de los ataques protagonizados por el conjunto de las familias de ransomware, que está en 847.344 dólares. En todo caso, la conclusión de la firma de seguridad es que “los ciberdelincuentes saben que pueden ganar dinero con ransomware y son cada vez más exigentes con sus demandas”.

Desde el inicio de la pandemia el sector sanitario ha estado en el punto de mira de los ciberdelincuentes, y el estudio señala que fue el más afectado por este tipo de ataques durante 2020. “Los operadores de ransomware fueron muy maquiavélicos con sus ataques para ganar la mayor cantidad de dinero posible, ya que sabían que las organizaciones de atención médica tenían que seguir operando para tratar a los pacientes con Covid-19 y ayudar a salvar vidas, y no podían permitirse el lujo de tener sus sistemas bloqueados, por lo que era más probable que pagaran un rescate”, dice el documento.

El ransomware Ryuk se destacó del resto y, de hecho, como recuerda el informe, en octubre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS) emitieron un aviso conjunto de ciberseguridad, advirtiendo a las organizaciones de atención médica contra los ataques de Ryuk.

Auge del ransomware de doble extorsión
Un ataque de ransomware común consiste en que el operador de ransomware cifra los datos y obliga a la víctima a pagar un rescate para desbloquearlos. En un caso de doble extorsión, los operadores de ransomware cifran y roban datos para obligar aún más a la víctima a pagar un rescate. Si la víctima no paga el rescate, los operadores de ransomware filtran los datos en alguna web de filtraciones o en algún dominio de la dark web (donde se alojan la mayoría de sites con datos filtrados). Generalmente, estos websites con datos filtrados son creados y administrados por los responsables del ransomware. Actualmente hay al menos 16 variantes de ransomware diferentes amenazando con exponer datos o utilizar estos sitios de filtraciones, y es probable que más variantes continúen esta tendencia.

La familia de ransomware que más aprovechó esta táctica fue NetWalker. Desde enero de 2020 hasta enero de 2021, este malware filtró datos de 113 organizaciones de víctimas a nivel mundial, superando con creces a otras familias de ransomware. RagnarLocker está en la segunda posición, después de haber filtrado datos de 26 víctimas en todo el mundo.

Este ransomware ha dejado de ser un peligro ya que, como señala el informe, el Departamento de Justicia de EE.UU. anunció el pasado mes de enero que había coordinado una acción policial internacional para interrumpir la banda de ransomware NetWalker. El dominio de la web oscura administrado por los operadores de NetWalker, que albergaba datos filtrados, ya no está accesible.