El pago promedio por ciberataques con 'ransomware' aumentó un 82% hasta junio, a casi 500.000 euros

El pago promedio tras un ciberataque de ransomware aumentó un 82% en la primera mitad de 2021, llegando a un récord de 570.000 dólares (484.777 euros), ya que los ciberdelincuentes emplearon tácticas cada vez más agresivas para obligar a las organizaciones a pagar rescates mayores. Así lo revela el informe de amenazas de ransomware de la consultora de seguridad Unit 42. El aumento se produce después de que el pago promedio del año pasado aumentara un 171%, superando los 312.000 dólares (265.326 euros).

Los datos muestra cómo esta técnica de cibercrimen continúa intensificándose a medida que las empresas criminales aumentan la inversión en operaciones de ransomware altamente rentables.

Desde el citado grupo de consultoría destacan cómo estos ataques de ransomware han impedido a muchas empresas seguir adelante con su actividad, al no poder acceder a sus ordenadores; han elevado los precios de la carne (se refieren al ciberataque que obligó recientemente a cancelar en EE UU turnos de trabajo en los mataderos de la empresa brasileña JBS, especializada en procesamiento de carne); han provocado escasez de gasolina (el caso más sonado de los últimos meses fue de la empresa Colonial Pipeline, que un ciberataque le obligó al cierre preventivo de la mayor red de oleoductos de EE UU), han cerrado escuelas, han retrasado casos legales, han impedido que se pueda llevar a inspeccionar los coches y han provocado que algunos hospitales tengan que rechazar a pacientes.

Colonial Pipeline llegó a pagar 5 millones de dólares y JBS hasta 11 millones para recuperar la normalidad en sus operaciones.

Desde Palo Alto Networks señalan que el aumento de la "extorsión cuádruple" es una tendencia inquietante que ha sido identificada por los consultores de Unit 42 mientras controlaban docenas de casos de ransomware en la primera mitad de 2021. Y es que ahora, los operadores de este tipo de ciberataque suelen usar hasta cuatro técnicas para presionar a las víctimas para que paguen. La primera el cifrado, que obliga a las víctimas a pagar para recuperar el acceso a datos codificados y sistemas informáticos comprometidos, que dejan de funcionar porque los archivos clave están cifrados. La segunda, el robo de datos, una tendencia que, según apuntan, despegó en 2020. En este caso los delincuentes informáticos divulgan información confidencial si no se paga un rescate.

La tercera y la cuarta técnicas son la denegación de servicio (DoS), con las que las bandas de ransomware lanzan ataques de denegación de servicio que cierran los sitios web públicos de la víctima, y el acoso. En este caso, los ciberdelincuentes se comunican con los clientes, socios comerciales, empleados y medios de comunicación para informarles que la organización fue pirateada.

"Si bien es raro que una organización sea víctima de estas cuatro técnicas, este año hemos visto cada vez más como las bandas de ransomware utilizan enfoques distintos cuando las víctimas no quieren pagar. Eso es el doble de lo que aparecía en el Informe de amenazas de ransomware de Unit 42 en 2021, que cubría las tendencias de 2020 y señalaba el cifrado doble como una tendencia emergente", señalan los responsables del estudio.

Estos advierten que, a medida que adoptan estos nuevos enfoques de extorsión, las bandas de ransomware "se vuelven más codiciosas". La demanda promedio de un rescate aumentó un 518% en la primera mitad de 2021, llegando a los 5,3 millones de dólares (4,5 millones de euros), frente al promedio de 2020 que fue de 847.000 dólares.

La demanda de rescate más alta a una sola víctima contabilizada por los consultores de Unit 42 llegó a 50 millones de dólares en la primera mitad de 2021, superando la cifra de 30 millones a la que se había llegado el año pasado. Además, recientemente, REvil probó un nuevo enfoque al ofrecer una clave de descifrado universal a todas las organizaciones afectadas por el ataque de Kaseya, por un precio de 70 millones de dólares, aunque rápidamente lo redujo a 50 millones. Kaseya finalmente obtuvo una clave de descifrado universal, pero no está claro cuál fue la cantidad que se pagó, si la hubo, continúan los expertos de esta consultora.

El pago confirmado más grande en lo que va de año, ha sido de 11 millones, según los datos revelados por JBS SA después de un ataque masivo en el mes junio. El año pasado, el pago más grande fue de 10 millones.

Algunas de las bandas de ransomware más prolíficas del mundo son Mespinosa, REvil, Prometheus, Conti, DarkSide y Clop.

Unit 2 prevé que la crisis del ransomware continúe tomando impulso en los próximos meses, a medida que estas y otras bandas perfeccionen las tácticas para obligar a las víctimas a pagar y también desarrollen nuevos enfoques para hacer que los ataques sean más disruptivos. "Por ejemplo, hemos visto que estas bandas cifran un tipo software de infraestructura crítico conocido como hipervisor, que puede dañar varias instancias virtuales que se ejecutan en un solo servidor", señalan, y añaden que se espera ver una mayor focalización de hipervisores y otros softwares de infraestructura administrada en los próximos meses.

"También se espera una mayor orientación a los proveedores de servicios administrados y sus clientes, a raíz del ataque que aprovechó el software de administración remota de Kaseya, que se utilizó para distribuir ransomware a los clientes de los proveedores de servicios administrados (MSP)", continúan.

Si bien Unir 42 pronostica que los rescates continuarán su trayectoria ascendente, se espera ver como algunos grupos continúan enfocándose en el extremo inferior del mercado, apuntando regularmente a las pymes que carecen de recursos para invertir fuertemente en ciberseguridad. En lo que va del año, Unit 42 ha observado grupos como NetWalker, SunCrypt y Lockbit, que exigen y reciben pagos que van desde los 10.000 a los 50.000 dólares. "Aunque estos representan un pequeño porcentaje de los rescates observados, los pagos de ese tamaño pueden tener un impacto debilitante en una organización pequeña", advierten.