Las demandas y los pagos de ransomware alcanzaron niveles récord en 2021, ya que las pandillas de ransomware proliferan junto con los “sitios de filtración” de Dark Web para presionar a las víctimas, según la Unidad 42 de Palo Alto Network.
Al observar los casos manejados por los respondedores de la Unidad 42 y analizar las publicaciones en los sitios de fugas (donde los operadores de ransomware brindan fragmentos de información robada como parte de las técnicas de extrusión múltiple), el Informe de amenazas de ransomware de la Unidad 42 de 2022 encontró que la demanda promedio de ransomware aumentó un 144 % en 2021 a $ 2,2 millones, mientras que el pago promedio aumentó un 78 % a $ 541 010 en el mismo tiempo.
También encontró que las industrias más afectadas, al menos en el Reino Unido, fueron los servicios profesionales y legales, la construcción, la venta al por mayor y al por menor, la atención médica y la fabricación.
El número de víctimas cuyos datos se publicaron en sitios de fugas también aumentó un 85 % en 2021 a 2566 organizaciones, con un 60 % de víctimas de sitios de fugas en las Américas, seguido por un 31 % en Europa, Medio Oriente y África, y un 9 % en la región Asia-Pacífico.
“Los ciberdelincuentes se están duplicando al encontrar formas adicionales de extorsionar a las víctimas junto con ransomware”, dijo Ryan Olsen, vicepresidente de inteligencia de amenazas en la Unidad 42, en el prólogo del informe. “La doble extorsión despegó por primera vez en 2020, con el aumento de los sitios de filtración de la web oscura que los ciberdelincuentes utilizaron para identificar a las víctimas de ransomware y amenazar con filtrar datos corporativos confidenciales.
“En 2021, las pandillas de ransomware llevaron estas tácticas a un nuevo nivel, popularizando técnicas de extorsión múltiple diseñadas para aumentar el costo y la inmediatez de la amenaza”.
Un informe anterior de la Unidad 42 de mayo de 2021 encontró que la cantidad promedio pagada por las víctimas de ransomware casi se había triplicado a más de $ 300,000 por incidente.
Pandilla de ransomware Conti
En términos de actores de amenazas involucrados, el nuevo informe agregó que la pandilla de ransomware Conti fue responsable de la mayor parte de la actividad, representando más de uno de cada cinco casos trabajados por consultores de la Unidad 42 a lo largo de 2021. REvil, también conocido como Sodinokibi, fue el segundo ( 7,1%), seguida de Hello Kitty y Phobos (con 4,8% cada una).
La Unidad 42 también señaló que el ecosistema de extorsión cibernética generalmente se expandió con la aparición de 35 nuevas bandas de ransomware en 2021, incluidas Black Matter, Hive y Grief.
“También comenzamos a ver grupos de ransomware que aplican técnicas de triple extorsión”, dice el informe. “Suncrypt, visto originalmente en octubre de 2019, fue uno de los primeros, junto con BlackCat, en aplicar estas tácticas de triple extorsión.
“Esto significa que, junto con el cifrado y el robo de datos, la pandilla y sus afiliados extorsionan aún más a sus víctimas al amenazar con lanzar un ataque DDoS en la infraestructura o la red de la organización si fallan las negociaciones de demanda de rescate. Si las negociaciones no van bien, no solo filtran los datos de las víctimas, sino que inician los ataques DDoS para dejar inoperables a sus víctimas, con la esperanza de que la víctima se comunique con ellos para reiniciar las negociaciones”.
En febrero de 2022, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que los ataques de ransomware realizados durante los últimos 12 meses estaban alcanzando nuevos niveles de sofisticación, con bandas de delincuentes cibernéticos recurriendo a tácticas de estilo cada vez más profesional y apuntando a víctimas más impactantes; tendencias que es probable que continúen.
En agosto de 2021, el informe de seguridad de mitad de año de Check Point también señaló que hubo un aumento en los ataques de ransomware durante la primera mitad del año, luego de presenciar un aumento del 93 %.
La firma dijo que el aumento fue impulsado por el aumento de las técnicas de triple extorsión, en las que los atacantes, además de robar datos confidenciales de las organizaciones y amenazar con divulgarlos públicamente a menos que se realice un pago, también se dirigen a los clientes, proveedores o socios comerciales de la organización en de la misma manera
Según Barnaby Mote, director gerente de Databarracks, una firma especializada en continuidad de negocios y recuperación de desastres de TI, existe una “desconexión preocupante” entre los directores de la junta y los líderes de ciberseguridad por la amenaza del ransomware.
Mote señaló que un informe reciente de Egress encontró que solo el 23 % de los directorios de las empresas ven el ransomware como su principal prioridad de seguridad (a pesar de que el 59 % de las empresas se ven afectadas por ataques de ransomware), mientras que un estudio separado del Foro Económico Mundial (WEF) encontró que algunos El 80 % de los líderes en seguridad cibernética vieron el ransomware como una amenaza peligrosa y en constante evolución para la seguridad pública.
“Sigue habiendo una brecha clara entre cómo los expertos cibernéticos y los directores de la empresa ven la amenaza, a pesar de la prevalencia del ransomware”, dijo. “Si los líderes corporativos no se concentran más en el problema, es un objetivo abierto para los delincuentes cibernéticos.
“El informe también encontró que el 61 % de los CISO afectados por ransomware se negaron a pagar el rescate, y el 80 % que no se vio afectado dijo que se negaría. Esto destaca la necesidad de una respuesta preparada previamente a los ataques de ransomware, ya que es un proceso mucho más complejo que simplemente negarse a pagar”.
Agregó que contar con una “estrategia de respaldo a prueba de agua” puede ayudar a las organizaciones a rechazar con confianza una demanda de ransomware, pero que esta estrategia necesita la aceptación desde arriba: “Los directores de la junta deben escuchar atentamente a sus colegas cibernéticos y darse cuenta de los días en que el ransomware está siendo una amenaza secundaria ha terminado.
Impactos comerciales
Unit 42 también dijo en su informe que a medida que evoluciona el panorama de amenazas de ransomware, los equipos de seguridad y las partes interesadas ejecutivas deben estar mejor informados sobre la naturaleza de los ataques y sus impactos comerciales.
“Esto significa educar a las partes interesadas clave de nivel C y a la junta directiva hablando el idioma del negocio y aprovechando los informes sobre amenazas para informar estratégicamente su perfil de riesgo y estrategia de seguridad”, dijo, y agregó que implementar un enfoque de confianza cero también fue clave.
“También debe educar a su equipo de seguridad técnica sobre las últimas amenazas de ransomware, incluidos los vectores de ataque, los TTP, las demandas de rescate y las principales medidas de seguridad para evitar ataques.
“El modelo Zero Trust se ha vuelto cada vez más importante para los ejecutivos que necesitan mantenerse al día con la transformación digital y adaptarse al panorama de seguridad en constante cambio. Muchas organizaciones todavía luchan con un conjunto suelto y poco integrado de productos puntuales que no se alinean con el enfoque estratégico esperado por los miembros de la junta y los ejecutivos de nivel C.
“Si se implementa correctamente, Zero Trust simplifica y unifica la gestión de riesgos al convertir la seguridad en un caso de uso para todos los usuarios, dispositivos, fuentes de conexión o métodos de acceso”.