Las mafias del 'ransomware' se sofistican: ya tienen en cuenta los ingresos de sus víctimas al exigir un rescate, según una investigación de IBM

Los ataques con ransomware están aumentando y las cantidades que los ciberdelincuentes exigen como rescate también. Esta es la primera conclusión de un informe publicado por IBM y su equipo de respuesta a incidentes informáticos, el Security X-Force Incident Response team.

Las mafias que organizan estos ciberataques están sofisticando el método por el cuál deciden cuánto dinero exigir a sus víctimas a cambio de recuperar sus archivos bloqueados o robados durante el ataque. El Security X-Force Incident Response team de IBM tuvo que lidiar hasta con el triple de este tipo de incidentes en el segundo trimestre del año, en comparación con el trimestre inmediatamente anterior.

Los ciberataques con ransomware son muy sencillos de explicar: los atacantes inoculan en las redes corporativas de sus víctimas un programa malicioso que es capaz de encriptar todos los archivos de su objetivo. Para poder restaurar a la normalidad sus ficheros, las víctimas se verán obligadas a pagar un rescate —generalmente, en criptomonedas— a sus atacantes.

En lo que va de 2020 se ha visto cómo muchas de las mafias que ejecutan este tipo de ataques han dado una vuelta al proceso: ahora no solo piden un rescate por desencriptar los ficheros afectados, también piden dinero para evitar que los archivos que se hayan robado durante el proceso no se filtren o no se vendan al mejor postor en una subasta por internet.

Leer más: La ciberseguridad puede ser el motor que necesita el sector tecnológico español: por qué la industria tiene tanto potencial, según los expertos

En el informe de IBM del que se hace eco ZDNet, se ve cómo según los agentes del equipo de ciberincidentes de la firma han tenido que enfrentarse a un verano caliente. Junio, por ejemplo, ha sido el mes en el que se han producido casi un tercio de los ciberataques con ransomware en lo que va de año —y en los que el Security X-Force Incident Response team ha intervenido—.

IBM también constata precisamente esa tendencia: lo que antes eran meros ataques con ransomware ahora también se han convertido en brechas por las cuales los ciberdelincuentes sustraen datos e información sensible. También destaca cuáles son algunos de los sectores más atacados a nivel global: el manufacturero, el sector servicios y las administraciones públicas.

"Los ataques en estos tres sectores sugieren que los atacantes con ransomware buscan objetivos con una baja tolerancia a un apagón, como la industria manufacturera. Compañías que dependen mucho de sus tiempos de producción pueden perder millones de dólares cada día por un parón en sus operaciones. Por ello, estarán más dispuestos a pagar un rescate y restaurar sus procesos", destaca la firma en el informe.

Uno de los colectivos de ciberdelincuentes que con más fiereza han actuado durante la pandemia del COVID-19 son los que operan el ransomware conocido como Sodinokibi o rEVIL. El colectivo que opera este programa malicioso también atacó este verano a firmas españolas como Adif, la empresa pública que gestiona la red ferroviaria de España. También robó documentos del despacho de abogados de celebridades como Donald Trump o Madonna.

Leer más: La confianza también es un riesgo: un estudio revela que los trabajadores en remoto tienden a sobrestimar sus conocimientos sobre ciberseguridad

IBM detalla que al menos 140 compañías han sido víctimas de Sodinokibi y al menos una de cada tres han pagado el rescate. El 12% de sus objetivos habrían visto cómo los ciberdelincuentes vendían su información sensible mediante subasta en la red. Las subastas alcanzaron precios de entre 5.000 dólares y 20 millones de dólares.

"Nuestros investigadores también apuntan que los atacantes del Sodinokibi tienen en cuenta los ingresos anuales de sus víctimas a la hora de exigir un rescate, y piden un rango de entre el 0,08% y el 9,1% de los ingresos anuales de los mismos", detalla el documento.