Más de la mitad de los ataques de ransomware piden rescates de 10 millones de dólares

En 2021 ha respirado una gran aumento de la ciberdelincuencia protagonizada por un incremento  de los ataques de Ransomware y sus consiguientes rescates cuyos importes también se dispararon. Además, los cibercriminales ampliaron sus objetivos potenciales desviando el foco hacia infraestructuras y evolucionando hacia ataques a cadenas de suministro de software cuyo impacto es más amplio, duradero y costoso.

 

La mala perspectiva de este tipo de ciberataques no absuelve a nadie de consecuencias como el daño financiero o los titulares lapidarios, entre otros efectos. Así, los delincuentes de ransomware están penetrando en la economía digital mediante proveedores de software y de servicios IT.

 

En este sentido, gran parte de estos ataques han sido llevados a cabo por un grupo reducido de bandas de ransomware. Tras el análisis de Barracuda Networks, entre agosto de 2020 y julio de 2021, se observa que la banda REvil ha realizado el 19% de los ataques tras DarkSide con un 8%. 

 

 

Los cibercriminales usan software malicioso mediante emails que normalmente se camuflan en un archivo adjunto o un enlace para intentar infectar la red, bloquear el email, datos u otros archivos críticos hasta que se abone el rescate. Estos ataques son capaces de paralizar las operaciones diarias, causar caos y derivar en pérdidas financieras además de crear inactividad, pagos de rescate o costes de recuperación, entre otros

 

Últimamente, los criminales basan las peticiones del rescate respecto a investigaciones que llevan a cabo de forma previa. Así que roban datos sensibles y piden un pago a cambio de no hacer pública ni vender esta información. Normalmente las víctimas que pagan una primera vez vuelven a ser contactadas unos meses después para que realicen otro pago incluso algunos atacantes, una vez recibido el pago, publican la información de igual manera.

 

En el último año, investigadores de Barracuda han identificado y analizado 121 incidentes de ransomware, lo que se traduce en un aumento del 64% respecto al año anterior. Los ciberdelincuentes siguen atacando a los organismos municipales, la sanidad pública y las instituciones educativas, aunque se ha descifrado un aumento de los ataques a empresas privadas. 

 

Grandes corporaciones, como constructoras, servicios financieros y de viajes, u otros negocios, suponen más del 57% de los objetivos de estos ciberataques, un 18% más respecto al último estudio. Las empresas relacionadas con infraestructura ya representan el 10% de todos los incidentes investigados. De hecho, los ataques de ransomware evolucionaron a ataques a la cadena de suministro de software para poder impactar sobre más empresas con un solo intento.

 

Las administraciones locales no están preparadas para afrontar este tipo de agresiones ya que suelen tener presupuestos limitados, equipos de IT pequeños y herramientas desactualizadas... El problema es especialmente grave porque los proveedores de software de confianza se han usado como arma contra sus clientes provocando ataques de fuentes inesperadas a un ritmo alarmante.

 

Desde una perspectiva geográfica, casi la mitad de los ataques del último año afectaron a empresas estadounidenses (44%), y cerca de un  30% se llevaron a cabo en Europa, Oriente Medio y África, 11% en países de Asia Pacífico, 10% en Sur América y el resto en Canadá y México. Mientras los cibercriminales se enfocan en ataques a organizaciones de Estados Unidos, los estudios muestran que los ataques de ransomware son más dominantes en todo el mundo.

 

 

Más allá de usar enlaces malignos y archivos adjuntos, los cibercriminales siguen perfeccionando sus táctica mediante ataques de phising. Cabe destacar que las aplicaciones web tienen varias vías de entrada que incluyen redes que permiten a los usuarios trabajar de forma remoto. En muchas ocasiones, los atacantes explotaron vulnerabilidades para tener el control de la aplicación y buscar información valiosa para encriptar. 

 

Las diez principales amenazas identificadas por OWASP (Open Web Application Security) para la seguridad de las aplicaciones son mecanismos potenciales para poder tener acceso a la infraestructura de una organización. Delegar solo en una VPN para los trabajadores que trabajan de forma remota son un riesgo ya que muchas credenciales han sido filtradas a la “darkweb”. 

 

 

La cantidad demandada como pago en rescates ha aumentado de forma notable y actualmente la cantidad media que se exige supera los 10 millones de dólares. Únicamente en un 18% de los ataques pidió menos de esa cantidad y en un 30% se superaron los 30 millones de dólares. 

 

Desde el auge de las criptomonedas, se ha observado una correlación entre un incremento de ataques de ransomware y el aumento de la cuantía exigida. Dada la mayor represión contra el Bitcoin y la mejora de las transacciones llevadas a cabo con este criptoactivo, los delincuentes exigen métodos de pago alternativos como la banda de ransomware REvil que pide Monero.

 

También se aprecia un incremento de las empresas que se niegan a pagar el rescate lo que provoca un aumento de la cantidad demandada. A esta tendencia se le unen colaboraciones entre las autoridades y los negociadores de rescates. Dado el alto perfil e impacto de los ataques recientes, el Gobierno de EE.UU está dispuesto a emprender acciones  incluso contra los estados si existen pruebas de complicidad o negligencia en la vigilancia de los ciberdelincuentes.

 

El primer paso es asumir la condición de víctima y la siguiente tarea es no pagar el rescate para implementar estos tres procedimientos:

 

Incorporar capacidades anti-phising en el correo electrónico y otras herramientas de colaboración y formar a los usuarios para que conozcan las dinámicas de seguridad del correo electrónico.

 

Asegurar las aplicaciones y acceso. Además de emplear MFA (Multi Factor Authentication), tes necesario incorporar la seguridad de las aplicaciones web en las aplicaciones SaaS y puntos de acceso a la infraestructura. Se debe proteger las aplicaciones de las diez amenazas principales identificadas por OWASP e intentar reducir la cantidad de acceso de los usuarios. 

 

Realizar una copia de seguridad de los datos. Mantener actualizado el sistema con una solución de protección de datos segura que identifique los activos de datos críticos e incluir capacidades de recuperación y desastres. 

 

A medida que los ciberdelincuentes se forman para lograr más ingresos, la industria de la seguridad tiene que desarrollar soluciones fácilmente consumibles para empresas de todos los tamaños. A menudo, los atacantes sitúan su foco en pequeñas organizaciones vinculadas a objetivos más grandes para llevar a cabo un proceso de escalada. Por ello, es necesario crear productos que puedan combinarse y convertir tanto la tecnología como los productos de más sofisticación en servicios que puedan consumirse sin talentos de seguridad caros y escasos.