Claramente es un buen momento para que los ciberdelincuentes estén en el negocio del ransomware.
Los nuevos datos del proveedor de seguridad Coveware muestran que en el cuarto trimestre de 2019, los atacantes en promedio recaudaron más del doble en dinero de rescate de las víctimas de la empresa que en el trimestre anterior. Al monetizar solo un 2% de sus ataques, la mayoría de los operadores de ransomware pudieron generar una ganancia sizeable en sus inversiones el último trimestre, estimó Coveware.
Coveware analizó los datos de víctimas de ransomware recopilados de sus compromisos de respuesta a incidentes, así como de las empresas de IR que utilizan su plataforma, en los últimos tres meses de 2019. Los datos mostraron que los pagos promedio de ransomware se dispararon 104% de $ 41,198 en el tercer trimestre a $ 84,116 en el cuarto trimestre. En promedio, un ataque de ransomware le costó a las organizaciones víctimas unos 16.2 días en tiempo de inactividad, en comparación con solo 12.1 días en el tercer trimestre de 2019.
La mitad de las víctimas que pagaron un rescate pagaron $ 41,179 o menos, mientras que la otra mitad pagó más. En el extremo outstanding, algunas víctimas pagaron hasta $ 780,000 para obtener las claves de descifrado para desbloquear sus datos, mientras que en el otro extremo del espectro, otras víctimas pagaron tan solo $ 1,500. La amplia gama de demandas y pagos de rescate reflejó la gran diversidad de los actores de amenazas que estuvieron activos el último trimestre, dijo Coveware en un informe publicado el lunes.
«La duplicación de la cantidad fue sorprendente», dice Invoice Siegel, CEO y cofundador de Coveware. «Creo que esperábamos que aumentara, pero no habíamos esperado que el impacto de los ataques de grandes empresas elevara el promedio tanto como lo hizo».
El informe de Coveware es uno de varios en las últimas semanas que han destacado un aumento inquietante en los ataques de ransomware en organizaciones empresariales. Mucho de esto parece estar impulsado por la voluntad de muchas víctimas de negociar con los atacantes en lugar de intentar restaurar sus propios datos. Los expertos en seguridad y los funcionarios encargados de hacer cumplir la ley han estado abogando firmemente por esto último, aconsejando a las organizaciones que no paguen a los atacantes.
En muchos casos, los atacantes han comenzado a aumentar drásticamente la presión sobre las víctimas mediante la filtración de datos antes de cifrarlos y luego amenazar con filtrar los datos públicamente si no se pagan. Según Coveware, antes del cuarto trimestre, menos del 5% de los incidentes de ciber-extorsión de la empresa involucraban exfiltración y exposición de datos. Pero tales incidentes ahora están aumentando constantemente. La tendencia comenzó más o menos en el verano de 2019 con cepas de malware como el derivado de BitPaymer DopplePaymer, Maze y, más recientemente, Sodinokibi.
«El delito cibernético es un negocio, y cuando un grupo de ransomware puede adquirir víctimas de manera barata y reiterada, lo seguirán haciendo», dice Siegel. Casi seis de cada 10 ataques en el último trimestre (57%) se habilitaron mediante el uso de credenciales robadas del Protocolo de escritorio remoto (RDP), que están disponibles en los mercados subterráneos por menos de $ 100, señala. «Esto continuará hasta que los márgenes de ganancias bajen para estos ataques baratos y simples. A partir de ahora, los márgenes son excelentes para el delito cibernético, por lo que continúa».
Una encuesta de Proofpoint a más de 600 profesionales de seguridad en todo el mundo mostró que un poco más de la mitad de todas las organizaciones infectadas con ransomware en 2019 eligieron pagar el rescate exigido. El sesenta y nueve por ciento recuperó sus datos después del pago inicial El 22% no pudo recuperar el acceso a los datos y sistemas bloqueados El 9% se vio afectado por demandas adicionales, y el 2% terminó pagando una cantidad mayor que la demanda inicial.
Una propuesta de Dicey
Mientras tanto, los datos de Coveware mostraron que el 98% de las víctimas que pagaron el rescate exigido recibieron una herramienta de descifrado que funciona. En promedio, las empresas que recibieron un descifrador pudieron recuperar alrededor del 97% de sus datos bloqueados.
En normal, las organizaciones que tenían que lidiar con los operadores de ransomware más sofisticados, como los que están detrás de las muy prolíficas cepas Ryuk y Sodinikibi, tenían muchas más posibilidades de recuperar sus datos después de pagar un rescate. Los grupos asociados con ransomware como Immediate, Phobos y Mr.Dec, generalmente dirigidos a organizaciones más pequeñas, tienden a tener tasas de incumplimiento más altas. Las víctimas de estas cepas tenían un riesgo mucho mayor de no recuperar sus datos incluso después de un pago de rescate, descubrió Coverware.
Las empresas sin copias de seguridad, o aquellas con copias de seguridad comprometidas que no tienen la capacidad de recuperar sus negocios de otra manera, a menudo son las que terminan eligiendo hacer un pago de rescate, dice Siegel. Esa es la única razón para incluso contemplar negociaciones. Los que piensan que pagar un rescate ayudará a acelerar la recuperación están cometiendo un gran mistake, dice.
«En nuestra experiencia, eso es absolutamente falso, y en la práctica no sucede», dice Siegel. «Una vez que las empresas se dan cuenta del alcance del trabajo de remediación necesario solo para limpiar su crimson de producción, de modo que pueda descifrarlo de manera segura, se dan cuenta de que, en función de los riesgos y el tiempo, la restauración de las copias de seguridad siempre es una mejor opción».
El CEO de RiskSense, Srinivas Mukkamala, cuya compañía acaba de lanzar un servicio para ayudar a las organizaciones a identificar la exposición a cepas específicas de ransomware, dice que pagar rescates puede ser una propuesta arriesgada. Ha habido numerosos incidentes en los que la clave suministrada por los atacantes después de realizar un pago no funciona, dice. Además, «pagar el rescate obviamente financia el complejo industrial que los malos están construyendo, por lo que no somos fanáticos de eso», señala.
Al mismo tiempo, la copia de seguridad a menudo tiene la misma vulnerabilidad que permitió que ocurriera el ataque de ransomware en primer lugar, por lo que existe el peligro de que la misma vulnerabilidad pueda explotarse nuevamente, dice.
«El mejor camino posible es una excelente higiene inicial para parchear los sistemas de manera que el ransomware conocido no pueda ejecutarse», dice Mukkamala.
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más concepts
