La extorsión de ransomware se ha convertido rápidamente en la amenaza cibernética clave para las organizaciones a nivel mundial. La creciente dependencia de las organizaciones en los servicios digitales y los negocios interconectados, las TI y los sistemas operativos ha llevado a una mayor rentabilidad del ciberdelito y a tácticas ciberdelincuentes cada vez más avanzadas. El año pasado, con la pandemia de COVID-19 se han intensificado tales amenazas. Esto ha animado a los grupos de ciberdelincuentes avanzados a desviarse del ciberdelito y el fraude tradicionales en favor de la extorsión de ransomware y también está impulsando a los ciberdelincuentes con menos capacidad técnica a adoptar tales métodos.
El impacto financiero del ransomware en las empresas puede ser devastador; algunas estimaciones sitúan el costo anual total de los ataques a nivel mundial, incluidos los pagos de rescate y los costos de reparación, en aproximadamente USD 170 mil millones. A nivel nacional, el costo promedio de un solo ataque de ransomware cuenta una historia similar. El tiempo de inactividad operativo, los recursos agotados y fuera de horario, los pagos de rescate, el soporte de terceros y la reconstrucción del sistema hacen que estos incidentes sean costosos de remediar.
En 2020, muchas organizaciones fueron testigos de primera mano de los efectos disruptivos de los incidentes de ransomware. Uno de los ejemplos más citados fue un ataque en julio contra la empresa multinacional de tecnología Garmin, con sede en EE. UU., Que no solo cifró los archivos y sistemas de la empresa, sino que también dejó fuera de línea sus aplicaciones, sitios web y centros de llamadas para clientes durante varios días.
Los ataques de ransomware también pueden tener consecuencias cada vez más importantes en el mundo real. Una paciente alemana murió en septiembre después de que un hospital se viera obligado a rechazar su tratamiento de emergencia debido a un ataque de ransomware en sus sistemas. Aunque las agencias de aplicación de la ley alemanas descubrieron que el ataque no fue directamente responsable de la muerte del paciente, otros casos de este tipo son inevitables en medio de un creciente ataque a las instalaciones de atención médica.
Los grupos de ransomware operan cada vez más profesionalmente
Algunos de los grupos de ransomware más prolíficos han comenzado a emular modelos comerciales, mercantilizando sus herramientas de ransomware y convirtiendo sus empresas delictivas en franquicias para que compren otros especialistas en ciberdelincuencia. También están aplicando cada vez más una amplia variedad de estrategias para garantizar la máxima interrupción en las organizaciones objetivo y sus clientes, lo que aumenta la probabilidad de que las víctimas paguen rescates. Dichas estrategias incluyen centrarse en los sectores más vulnerables a la disrupción.
Varios grupos de ransomware también han aprovechado las organizaciones de TI y comunicaciones como puntos de pivote en las redes de sus clientes. Grupos como Sodinokibi y NetWalker se han dirigido de manera desproporcionada a los proveedores de servicios de nube y de TI, aprovechando los riesgos regulatorios y de reputación al amenazar con filtrar datos de clientes altamente sensibles para extorsionar rescates más altos.
Los operadores de ransomware suelen llevar a cabo ataques altamente dirigidos contra una pequeña cantidad de objetivos de alto valor o se dirigen de manera oportunista a una amplia gama de redes para extorsionar rescates más pequeños, pero más numerosos; algunos grupos persiguen ambos métodos o compran acceso a redes ya comprometidas por otros delincuentes. Más allá de centrarse en los sectores percibidos de alto valor, grupos como el ahora desaparecido Maze Team y su sucesor Egregor han adoptado un modelo de franquicia conocido como «ransomware como servicio» (RaaS), en el que los afiliados con menos capacidad técnica realizan ataques por un porcentaje de los ingresos, mientras que los desarrolladores de ransomware más avanzados proporcionan las herramientas.
La creciente adopción del modelo RaaS aumenta la cantidad de actores capaces de realizar operaciones de ransomware, al tiempo que aumenta el impacto que dichas operaciones tienen en sus víctimas. En el próximo año, los grupos RaaS continuarán enfocándose en reclutar ciberdelincuentes altamente calificados, con experiencia en violar grandes redes corporativas, en sus operaciones. Varios grupos de ransomware también están utilizando formas innovadoras de monetizar los datos robados de sus víctimas, por ejemplo, subastándolos al mejor postor.
Los ataques estatales y criminales se superponen
El potencial de ganancia financiera de las operaciones de ransomware ahora se extiende más allá del ecosistema ciberdelincuente y ha comenzado a atraer a actores vinculados al estado, a menudo denominados amenazas persistentes avanzadas (APT). Los ejemplos incluyen actores norcoreanos, que son ampliamente considerados responsables del ataque de ransomware WCry de gran impacto en mayo de 2017, y que ahora están utilizando una nueva cepa llamada VHD para cifrar redes corporativas de objetivos en Europa. Otros actores, como el grupo estatal APT41, continuarán utilizando técnicas de ransomware para monetizar el acceso a las redes que comprometen durante la actividad de espionaje.
Los actores estatales también continuarán aprovechando las relaciones con los actores ciberdelincuentes para cumplir con los requisitos de información, obteniendo datos robados que sean relevantes para los objetivos de inteligencia de los estados. Tales superposiciones parecen estar dando forma a los patrones de selección de los grupos de ciberdelincuentes que se centran en objetivos en los estados adversarios del país anfitrión; por ejemplo, una gran proporción de los ataques continúan dirigidos contra contratistas de defensa, organizaciones gubernamentales y de alta tecnología en los EE. UU., el Reino Unido y el norte de Europa.
Reaparecen técnicas alternativas de extorsión
Cifrar, robar y amenazar con filtrar datos ya no es el único método de extorsión utilizado por los grupos de ransomware. Durante los últimos meses, hemos observado un aumento en el ransomware y otros grupos de ciberdelincuentes que utilizan técnicas alternativas de extorsión para obligar a las víctimas a pagar. Estos van desde ataques extorsivos y disruptivos de denegación de servicio distribuida (DDoS), ataques extorsivos de borrado de datos, afirmaciones de haber colocado puertas traseras en productos de software, subasta o venta de datos robados al mejor postor. Los grupos de ransomware pueden aplicar todas estas técnicas sin necesidad de cifrar los datos de las víctimas.
El resurgimiento de estas técnicas alternativas demuestra que los ciberdelincuentes se están volviendo cada vez más agresivos en sus ataques extorsivos. En 2021, esperamos que los grupos de ransomware continúen explorando métodos de extorsión nuevos y cada vez más disruptivos. Es casi seguro que esto incluirá el uso de tecnologías emergentes, como deepfakes, que permitirán aún más a los ciberdelincuentes menos capacitados extorsionar a empresas, ejecutivos e individuos.
Para los ciberdelincuentes, sigue existiendo un equilibrio constante entre las ganancias y la seguridad frente a las fuerzas del orden y los grupos rivales. Para las organizaciones, las medidas de mitigación, basadas en soluciones de seguridad cibernética proactivas y basadas en amenazas y escenarios de crisis de ransomware realistas y bien ensayados, pueden evitar que los grupos de ransomware cada vez más capaces obliguen a su empresa a una situación en la que el pago de un rescate es una opción atractiva.