Las demandas y los pagos de ransomware alcanzan nuevos máximos


A medida que los ciberdelincuentes se han vuelto más agresivos, el pago promedio de rescate en la primera mitad de 2021 saltó a $ 570,000, un 82% más que en 2020, dice la Unidad 42 de Palo Alto Networks.

Concepto de ransomware

Imagen: Rzt_Moster / Shutterstock

El ransomware se ha convertido en una de las formas de ciberataque más destructivas y dañinas, lo que ha provocado enormes pérdidas económicas para las organizaciones víctimas. Y a medida que los ciberdelincuentes se han vuelto más audaces y codiciosos, sus demandas de rescate se han disparado. Un informe publicado el lunes por el equipo de inteligencia de amenazas de Palo Alto Networks, Unidad 42, analiza cómo y por qué los precios del ransomware se dispararon durante el año pasado.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

Precios de ransomware

Por lo basic, existe una diferencia entre las demandas de rescate y los pagos reales. Un ciberdelincuente o una pandilla pueden comenzar exigiendo una cantidad exorbitante de dinero a una víctima, pero eventualmente conformarse con menos después de las negociaciones y otros factores.

En cuanto a las demandas de rescate iniciales manejadas por la Unidad 42 en la primera mitad de 2021, el promedio fue de $ 5.3 millones, un salto del 518% desde el promedio de 2020 de $ 847,000. La demanda más alta observada durante el mismo período de tiempo fue de $ 50 millones, frente a los $ 30 millones del año pasado.

El pago de rescate promedio genuine revisado por la Unidad 42 en el primer semestre de este año alcanzó un récord de $ 570,000, un aumento del 82% con respecto al año pasado. Este salto se sumó a un aumento del 171% a $ 312,000 en 2020 en comparación con 2019.

Los números han sido aún más altos entre algunos casos de ransomware destacados que han aparecido recientemente en las noticias.

Tras un ataque contra la empresa de TI Kaseya, el grupo de ransomware REvil dijo que quería $ 70 millones en bitcoins a cambio de un descifrador universal que permitiría a todas las empresas afectadas recuperar sus archivos. El grupo bajó rápidamente su precio de venta a 50 millones de dólares. Kaseya finalmente obtuvo una clave de descifrado, pero dijo que provenía de una fuente confiable.

El mayor pago confirmado en lo que va de año fueron los $ 11 millones que desembolsó la empresa procesadora de carne JBS Foods tras un ataque de REvil. Esto superó el pago más grande de $ 10 millones visto por Unit 42 el año pasado.

Por qué suben los precios

¿Por qué han aumentado las demandas de rescate y los pagos? Un desencadenante citado por la Unidad 42 es la táctica de extorsión cuádruple. Los delincuentes ahora suelen utilizar hasta cuatro técnicas diferentes para presionar a las víctimas para que paguen el rescate.

  1. Cifrado. En esta etapa, las organizaciones victimizadas pagan a los atacantes para que descifren los datos cifrados de sus sistemas informáticos comprometidos.
  2. Liberación de datos. En esta etapa, los atacantes prometen divulgar públicamente los datos confidenciales a menos que se pague el rescate. Como tal, la organización se ve obligada a pagar el rescate incluso si tiene copias de seguridad de los archivos cifrados.
  3. Ataques de denegación de servicio. En este escenario, los delincuentes lanzan ataques de denegación de servicio para cerrar los sitios web públicos de la víctima hasta que se pague el rescate.
  4. Acoso. Y en esta etapa, los atacantes se ponen en contacto con los clientes, socios comerciales, empleados y medios de comunicación para alertarlos del ataque, avergonzando así a la víctima.

Aunque las bandas de ransomware no necesariamente emplean las cuatro tácticas en un ataque, ciertamente recurrirán a más de una, como el cifrado y la liberación de datos o los ataques de cifrado y denegación de servicio. El objetivo es ejercer tanta presión sobre la organización victimizada para que no tengan más remedio que pagar.

En cuanto a su bola de cristal, Unit 42 espera que los ataques de ransomware continúen ganando impulso a medida que los delincuentes agreguen otras tácticas a la mezcla.

En un ejemplo, las bandas de ransomware han comenzado a cifrar el application del hipervisor, que ejecuta varias máquinas virtuales en un servidor. Este enfoque les permite corromper más de un sistema en un solo ataque, un método que se espera que gane más tracción.

En otro ejemplo, es probable que los delincuentes lleven a cabo más ataques contra los proveedores de servicios gestionados y sus clientes, como el contra Kaseya que afectó a más de 1.000 empresas a lo largo de la cadena de suministro de Kaseya.

Aunque las demandas de rescate y los pagos continuarán aumentando, algunas pandillas aún se enfocarán en el extremo inferior del mercado, según la Unidad 42. Aquí, los atacantes apuntan específicamente a empresas más pequeñas que pueden carecer de los recursos para invertir en ciberseguridad sólida. Grupos criminales como NetWalker, SunCrypt y Lockbit han cobrado rescates de $ 10,000 a $ 50,000. Eso puede parecer minúsculo en comparación con el dinero recaudado por REvil, pero tales cantidades pueden afectar fácilmente a una empresa pequeña.

Recomendaciones

Con las demandas de pago aumentando y los ciberdelincuentes cada vez más agresivos, ¿cómo pueden las organizaciones protegerse mejor contra los ataques de ransomware?

«Mantener a su organización a salvo de ser víctima de un ataque de ransomware requiere un cambio essential desde la detección y reparación hacia la preparación y prevención», dijo a TechRepublic John Martineau, consultor principal de la Unidad 42. «Esto significa reducir la superficie de ataque, como cerrar el protocolo de escritorio remoto (RDP) a Net y, en su lugar, usar una crimson privada virtual (VPN) con autenticación multifactor (MFA) habilitada, previniendo amenazas conocidas e identificando y previniendo desconocidos amenazas a través de tecnologías de seguridad como XDR «.

La detección de amenazas es importante, según Martineau. Pero no evitará un ataque de ransomware, especialmente uno en el que sus datos corren el riesgo de ser filtrados públicamente. Las organizaciones deben estar preparadas para identificar y bloquear cada paso de un ataque, desde la entrega hasta el movimiento lateral difícil de detectar. Esta estrategia requiere planes y ejercicios de contingencia detallados para que todos sepan qué hacer si sus datos se ven comprometidos.

Pero si un ataque de ransomware afecta a su organización, ¿qué pasos debe seguir?

«Si es víctima de un ataque de ransomware, no se asuste», dijo Martineau. «La delegación de tareas y el trabajo en equipo son fundamentales en las primeras 12 a 24 horas y después del ataque. Mantenga una lista de verificación y la persona responsable de la tarea asignada. Verifique si tiene copias de seguridad viables. Si lo hace, restaure desde su última copia de seguridad después de conservar los datos en el caso en que se justifique una investigación del incidente. Por último, comuníquese con su representante de seguros cibernéticos si corresponde «.

Ver también



Enlace a la noticia original