Los pagos por extorsión alcanzan nuevos récords a medida que se intensifica la crisis del ransomware

El pago promedio de ransomware aumentó un 82%, llegando a un récord de $570,000 en la primera mitad de 2021, ya que los ciberdelincuentes emplearon tácticas cada vez más agresivas para obligar a las organizaciones a pagar rescates más grandes. El aumento se produce después de que el pago promedio del año pasado aumentara un 171%, superando los $312,000. Estas cifras, recopiladas por el grupo de consultoría de seguridad Unit 42, cuantifican lo que muchos de nosotros ya sabemos: la crisis del ransomware continúa intensificándose a medida que las empresas criminales aumentan la inversión en operaciones de ransomware altamente rentables.

Los ataques de ransomware nos han impedido acceder a los ordenadores del trabajo, han elevado los precios de la carne, han provocado escasez de gasolina, han cerrado escuelas, han retrasado casos legales, han impedido que podamos llevar a inspeccionar nuestros coches y han provocado que algunos hospitales tengan que rechazar a pacientes.

El auge de la extorsión cuádruple

El aumento de la «extorsión cuádruple» es una tendencia inquietante que ha sido identificada por los consultores de Unit 42 mientras controlaban docenas de casos de ransomware en la primera mitad de 2021. Ahora, los operadores de ransomware suelen usar hasta cuatro técnicas para presionar a las víctimas para que paguen:

1. Cifrado: las víctimas pagan para recuperar el acceso a datos codificados y sistemas informáticos comprometidos, que dejan de funcionar porque los archivos clave están cifrados.
2. Robo de datos: los delincuentes informáticos divulgan información confidencial si no se paga un rescate. (Esta tendencia realmente despegó en 2020).
3. Denegación de servicio (DoS): las bandas de ransomware lanzan ataques de denegación de servicio que cierran los sitios web públicos de la víctima.
4. Acoso: los ciberdelincuentes se comunican con los clientes, socios comerciales, empleados y medios de comunicación para informarles que la organización fue pirateada.

Si bien es raro que una organización sea víctima de estas cuatro técnicas, este año hemos visto cada vez más como las bandas de ransomware utilizan enfoques distintos cuando las víctimas no quieren pagar. Eso es el doble de lo que aparecía en el Informe de amenazas de ransomware de Unit 42 en 2021, que cubría las tendencias de 2020 y señalaba el cifrado doble como una tendencia emergente. A medida que adoptan estos nuevos enfoques de extorsión, las bandas de ransomware se vuelven más codiciosas. La demanda promedio de un rescate aumentó un 518% en la primera mitad de 2021, llegando a los $5.3 millones, frente al promedio de 2020 que fue de $847,000.

La demanda de rescate más alta a una sola víctima contabilizada por los consultores de Unit 42 llegó a $50 millones en la primera mitad de 2021, superando la cifra de $30 millones a la que se había llegado el año pasado. Además, recientemente, REvil probó un nuevo enfoque al ofrecer una clave de descifrado universal a todas las organizaciones afectadas por el ataque de Kaseya, por un precio de $70 millones, aunque rápidamente lo redujo a $50 millones. Kaseya finalmente obtuvo una clave de descifrado universal, pero no está claro cuál fue la cantidad que se pagó, si la hubo.

El pago confirmado más grande en lo que va de año, ha sido de $11 millones, según los datos revelados por JBS SA después de un ataque masivo en el mes junio. El año pasado, el pago más grande que observamos fue de $10 millones.

La trayectoria del ransomware

Se espera que la crisis del ransomware continúe tomando impulso en los próximos meses, a medida que los grupos de ransomware perfeccionen las tácticas para obligar a las víctimas a pagar y también desarrollen nuevos enfoques para hacer que los ataques sean más disruptivos. Por ejemplo, Unit 42 ha visto que las bandas de ransomware cifran un tipo software de infraestructura crítico conocido como hipervisor, que puede dañar varias instancias virtuales que se ejecutan en un solo servidor. Se espera ver una mayor focalización de hipervisores y otros softwares de infraestructura administrada en los próximos meses. También se espera una mayor orientación a los proveedores de servicios administrados y sus clientes, a raíz del ataque que aprovechó el software de administración remota de Kaseya, que se utilizó para distribuir ransomware a los clientes de los proveedores de servicios administrados (MSP).

Si bien Unir 42 pronostica que los rescates continuarán su trayectoria ascendente, se espera ver como algunos grupos continúan enfocándose en el extremo inferior del mercado, apuntando regularmente a las pequeñas empresas que carecen de recursos para invertir fuertemente en ciberseguridad. En lo que va del año, Unit 42 ha observado grupos como NetWalker, SunCrypt y Lockbit, que exigen y reciben pagos que van desde $10,000 a $50,000. Si bien es cierto que representan un pequeño porcentaje de los rescates observados, los pagos de ese tamaño pueden tener un impacto debilitante en una organización pequeña.

Para obtener más información sobre ransomware, consulte la amplia investigación de Palo Alto Networks de ransomware en el blog de Unit 42.