El cibercrimen al alza: los ataques de ransomware se vuelven más comunes y eficientes




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

De acuerdo con un nuevo análisis elaborado por la unidad de investigación de SILIKN, los ataques de ransomware se están volviendo más comunes y eficientes, lo cual ha reducido el tiempo que los atacantes pasan dentro de los sistemas de sus víctimas.

De acuerdo con el análisis, a los atacantes ahora les bastan alrededor de 20 días para lograr sus objetivos, contra los 480 días de tiempo de permanencia promedio que necesitaban (en 2011) o 65 días (en 2020) para poder lograr un impacto dentro de las organizaciones. A medida que el tiempo de permanencia disminuyó, la cantidad de casos de ransomware aumentó.

Esta efectividad del ransomware se debe a que en primer lugar, los atacantes cada vez están mejor preparados y continuamente desarrollan innovaciones, adelantándose a muchas empresas sobre todo en investigación, ejercicios y entrenamiento. Segundo, la falta de una mejora continua en las capacidades de detección de amenazas, nuevas políticas y presupuestos de seguridad más altos.

A medida que se presentan más ataques de ransomware, la unidad de investigación de SILIKN señala que también se espera que el tiempo de permanencia continúe reduciéndose, pues los atacantes que implementan, distribuyen y ejecutan ransomware no quieren permanecer ocultos por mucho tiempo.

Anteriormente, los operadores de ransomware intentaban entrar en un los sistemas de una organización y normalmente pasaban más tiempo tratando de entenderla antes de implementar ransomware. Ahora sus ciclos de ataque son más rápidos. Muchos han adoptado la técnica de la doble extorsión, en la que también amenazan con publicar datos robados si el rescate no se paga a tiempo.

De acuerdo con la unidad de investigación de SILIKN, los atacantes se sienten más cómodos con el ransomware en comparación con otras formas de monetización. Esto, combinado con pagos cada vez más altos, es todo un reto para los defensores, pues los operadores de ransomware de hoy se sienten más cómodos negociando sumas más altas y, a medida que aprenden más y más sobre cómo hacer eso con ransomware, se sienten más cómodos con este tipo de actividades delictivas.

Además, el estudio de la unidad de investigación de SILIKN arrojó otros datos interesantes, tales como que los atacantes hacen uso del phishing (39.8%), de los exploits (33.1%), credenciales robadas (19.5%) y ataques de fuerza bruta (7.6%), para poder diseminar el ransomware dentro de las organizaciones.

De igual forma, la proliferación del ransomware también se debe a que grupos de ciberdelincuentes han creado paquetes de código malicioso— totalmente funcionales — que venden a otros atacantes menos experimentados, o con menos habilidades, para que puedan ejecutarlos. Muchas de estas herramientas son fáciles de usar, reduciendo el costo de entrada y empoderando a los atacantes.

Si bien las organizaciones enfrentan nuevas amenazas, el proceso de preparación para este tipo de ataques no ha cambiado. Las empresas deben estar preparadas para enfrentar una posible intrusión y con ello poder tomar decisiones inteligentes basadas en las amenazas reales y actuales.

En México el costo promedio de remediación para las organizaciones por un ataque de ransomware es de $470 mil US dólares y si se paga el rescate, es de $940 mil US dólares.

En 2021 el ataque con mayor crecimiento en México será el ransomware y menos del 50% de las organizaciones cuentan con personal capacitado para enfrentarlo.

En 2020, el ransomware se dirigió principalmente al sector manufacturero, las organizaciones de atención médica y las empresas de construcción, y el rescate promedio alcanzó los $500 mil US dólares, de acuerdo con datos de la unidad de investigación de SILIKN.

Un análisis de la unidad de investigación de SILIKN — aplicado en Estado de México, Guanajuato, Puebla, Querétaro, Ciudad de México, Jalisco, Yucatán, Michoacán y Nuevo León — encontró 250 víctimas en 30 industrias, siendo las de manufactura, centros de salud y empresas de construcción las que sufrieron el 40.3% de los ataques de ransomware en 2020 y es probable que la demanda de rescates aumente en 2021 porque los grupos criminales de ransomware están innovando para adelantarse a los defensores.

Otro punto a señalar es que los atacantes continúan ajustando sus técnicas, por lo que también se presentó un incremento del 67.2% en la “doble extorsión”, en la cual los grupos de ransomware roban datos y luego cifran los sistemas antes de enviar una nota de rescate. Si la víctima decide recuperar su información mediante copias de seguridad, el atacante divulga públicamente los datos robados y publica los secretos de la víctima en Internet.

Los datos exfiltrados por las organizaciones criminales pertenecían en un 54.8% a industrias del sector de fabricación, construcción, comercio minorista, servicios legales y servicios fiscales, así como empresas de alta tecnología — incluso algunas del área de ciberseguridad — .

Un dato relevante es que “limpiar” un sistema para eliminar el ransomware puede superar los $80 mil US dólares para los grandes corporativos y los $55 mil dólares para pequeñas y medianas empresas (PyMEs). Sobre este tema el estudio de la unidad de investigación de SILIKN señala que, en México, el 66.9% de las PyMEs cierran sus operaciones o quiebran seis meses después de haber sufrido un ataque cibernético.

Para más información, visite: https://www.silikn.com/ y conoce nuestra campaña constante contra el ransomware y el phishing en este enlace.