Resumen ejecutivo Informe Ransomware 2021

Con el objetivo de evaluar el estado actual del ransomware, los equipos de Palo Alto Networks de inteligencia frente a amenazas Unit 42 y de respuesta a incidentes Crypsis analizaron el panorama de amenazas de ransomware en 2020, con datos globales de Unit 42, así como datos de EE. UU., Canadá y Europa de Crypsis. Este informe detalla las principales variantes de ransomware (con enlaces a evaluaciones de amenazas para cada variante), pagos promedio, predicciones de ransomware y próximos pasos para reducir inmediatamente el riesgo de este tipo de ataques.

Los ciberdelincuentes están ganando y exigiendo más dinero que nunca

El rescate medio pagado por las organizaciones aumentó de 115.123 dólares en 2019 a 312.493 dólares en 2020, un incremento interanual del 171%. Además, el rescate más alto pagado por una organización se duplicó de 2019 a 2020, de $5 millones a $10 millones. Además, entre 2015 y 2019, la mayor demanda de ransomware fue de $15 millones mientras que en 2020 creció a $ 30 millones.

Es de destacar que las demandas de rescate de Maze en 2020 fueron de $4.8 millones en promedio, que es un aumento significativo en comparación con el promedio de $847.344 en todas las familias de ransomware en 2020. Los ciberdelincuentes saben que pueden ganar dinero con ransomware y son cada vez más exigentes con sus demandas.

Organizaciones sanitarias en el punto de mira

El mundo cambió con el brote de COVID-19 y los operadores de ransomware aprovecharon la pandemia para aprovecharse de las empresas. Sobre todo el sector de la salud, que fue el más afectado por ransomware en 2020. Los operadores de ransomware fueron muy maquiavélicos con sus ataques para ganar la mayor cantidad de dinero posible, ya que sabían que las organizaciones de atención médica tenían que seguir operando para tratar a los pacientes con COVID-19 y ayudar a salvar vidas, y no podían permitirse el lujo de tener sus sistemas bloqueados, por lo que era más probable que pagaran un rescate.

El ransomware Ryuk se destacó del resto. En octubre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS) emitieron un aviso conjunto de ciberseguridad, advirtiendo a las organizaciones de atención médica contra los ataques de Ryuk.

El auge del ransomware de doble extorsión

Un ataque de ransomware común consiste en que el operador de ransomware cifra los datos y obliga a la víctima a pagar un rescate para desbloquearlos. En un caso de doble extorsión, los operadores de ransomware cifran y roban datos para obligar aún más a la víctima a pagar un rescate. Si la víctima no paga el rescate, los operadores de ransomware filtran los datos en alguna web de filtraciones o en algún dominio de la dark web (donde se alojan la mayoría de sites con datos filtrados). Generalmente, estos websites con datos filtrados son creados y administrados por los responsables del ransomware. Actualmente hay al menos 16 variantes de ransomware diferentes amenazando con exponer datos o utilizar estos sitios de filtraciones, y es probable que más variantes continúen esta tendencia.

La familia de ransomware que más aprovechó esta táctica fue NetWalker. Desde enero de 2020 hasta enero de 2021, NetWalker filtró datos de 113 organizaciones de víctimas a nivel mundial, superando con creces a otras familias de ransomware. RagnarLocker está en la segunda posición, después de haber filtrado datos de 26 víctimas en todo el mundo. Cabe señalar que el Departamento de Justicia de EE.UU. anunció en enero de 2021 que había coordinado una acción policial internacional para interrumpir la banda de ransomware NetWalker. El dominio de la web oscura administrado por los operadores de NetWalker, que albergaba datos filtrados, ya no está accesible.