Las mafias de 'ransomware' triplicaron sus exigencias de rescate hasta una media de 260.000 euros en 2020 y el problema está agravándose, según una investigación

Los ciberdelincuentes que operan los ataques con ransomware han recaudado más que nunca en 2020, según un nuevo informe publicado el miércoles pasado por la compañía de ciberseguridad Palo Alto Networks.

Los ataques con ransomware, en los que mafias de ciberdelincuentes atacan con código malicioso que cifra datos y sistemas informáticos y exigen un rescate después a sus víctimas si estas quieren recobrar la normalidad, se producen desde hace más de una década. Pero los criminales cargan contra objetivos cada vez más vulnerables, como organizaciones sanitarias, y han desarrollado estrategias más agresivas que fuerzan a pagar esos rescates, según el responsable de Inteligencia sobre Amenazas de Palo Alto Networks, Ryan Olson.

"Estamos viendo una clara evolución del modelo de negocio de los ransomware", detallaba el directivo. "Quieren maximizar el daño que hacen a sus objetivos para hacerlos pagar la mayor cantidad posible si quieren detener los ataques".

La media de rescates que los colectivos de ransomware exigieron ha pasado de los 96.870 euros de media en 2019 (115.123 dólares) a 262.951 euros (312.493 dólares) en 2020, destaca esta nueva investigación, que se basa en los ataques a distintas organizaciones y empresas que han trascendido o bien en foros de ciberdelincuentes en línea en la dark web o bien en los miles de redes que Palo Alto Networks monitoriza desde 2015.

XIV Smart Business Meeting: potencial y desafíos de la industria de la ciberseguridad en España

En 2020 también se ha registrado el récord del mayor pago de un rescate de este estilo, hasta 8,4 millones de euros (10 millones de dólares). Supone el doble del récord anterior, 4,2 millones de euros (5 millones de dólares) que ya se detectó en 2019. Palo Alto Networks no detalla quién es la empresa o administración que se ha conformado en pagar semejante cantidad, pero Olson explica que se trata de una entidad sanitaria de EEUU.

Estas mafias han atacado sobre todo al sector sanitario en EEUU, Canadá y Europa, aprovechándose de la tensión hospitalaria que les ha obligado a pagar numerosos rescates para evitar períodos de inactividad demasiado prolongados. El FBI publicó un aviso en octubre advirtiendo de que se preveía una oleada de ciberataques a hospitales, después de que un incidente paralizase a una de las mayores cadenas sanitarias del país, provocando problemas en 250 centros.

La mayoría de los ataques con ransomware siguen el mismo patrón. Un ciberdelincuente intenta irrumpir en una entidad a través de un trabajador, que puede ver cómo sus credenciales son robadas mediante un formulario fraudulento que ha recibido mediante un correo phishing. Entonces utilizan sus datos para acceder a la red y desplegar el código malicioso en los sistemas de la empresa o administración objetivo. 

El informe identifica 10 cepas comunes de ransomware, muchas de ellas ofrecidas como un programa bajo servicio a otros colectivos de ciberdelincuentes no tan especializados que a cambio de utilizar la herramienta tienen que pagar a los desarrolladores un porcentaje del rescate que pidan a sus víctimas.

El informe también refleja una preocupante tendencia en los ataques con ransomware que comenzó a darse el año pasado. Los ciberdelincuentes ya emplean una táctica conocida como "doble extorsión", que supone exigir un rescate a cambio de que la víctima pueda recobrar la normalidad en sus sistemas y exigir dicho rescate también si la víctima quiere evitar que los datos que se han podido robar durante el ataque sean filtrados al público. Los ransomware tradicionales se encontraban con que no solían conseguir el rescate porque muchas de sus víctimas hacían uso de copias de seguridad. Incluir esta segunda extorsión como una suerte de ultimátum puede forzar a pagar muchos de estos rescates.

Poco después de que Palo Alto publicase este informe, el FBI hizo lo propio con su documento anual del cibercrimen en EEUU, detallando tendencias similares. La agencia identificó en el país 2.474 incidentes de ransomware en 2020, que provocaron pérdidas superiores a los 29 millones de dólares. Supone un aumento de incidentes con respecto a 2019, año en el que se registraron 2.047 de estos ataques.

Sindicatos y colegios de Informáticos estallan y denuncian precariedad y falta de recursos en la administración mientras el SEPE trata de recuperarse del ciberataque

Olson, de Palo Alto Networks, avisa: no hay razones para pensar que la tendencia vaya a disminuir en los próximos años si las víctimas siguen pagando. La mejor manera de reducir riesgos es minimizando todo lo posible los datos que puedan ser susceptibles de robo y los problemas que pueda ocasionar un apagón informático provocado por uno de estos incidentes. Para ello, la compañía de ciberseguridad anima a las empresas a hacer copias de seguridad regulares de sus datos y tener planes de contingencia en caso de que se vean comprometidas.

El informe llega justo en un momento en el que grupos de ciberdelincuentes están explotando una vulnerabilidad en un software de servidores de correo de Microsoft, Exchange. Expertos ya han asegurado que esas brechas permite a las mafias inocular ransomware y Microsoft confirmó la semana pasada que ha detectado movimientos en ese sentido desde que se descubrió el agujero.

"Sabemos que cada vez que un atacante tiene la oportunidad de abordar un sistema, lo más probable es que el incidente sirva para pedir un rescate o para secuestrar ese sistema para que mine criptomonedas", destaca Olson. "Y creo que es algo que seguiremos viendo una y otra vez".

Este artículo fue publicado originalmente en BI Prime