La nueva amenaza del ransomware: triple extorsión

El aumento global de los ataques de ransomware alcanza un incremento del 102% este año en comparación con el comienzo de 2020, y no muestra signos de desaceleración. El número de organizaciones afectadas por el ransomware a nivel mundial se ha más que duplicado en la primera mitad de 2021 en comparación con 2020. Los sectores de salud y servicios públicos son los sectores más objetivo desde principios de abril de 2021.

El FBI confirmó en un comunicado que un grupo de ciberdelincuentes profesional llamado DarkSide era responsable del ataque de ransomware en la red Colonial Pipeline. DarkSide funciona en un modelo de Ransomware-as-a-Service (RaaS), donde aprovecha un programa de socios para ejecutar sus ataques cibernéticos. Esto significa que en este momento se sabe poco sobre el actor real detrás del ataque.

Se sabe que DarkSide es parte de una tendencia de ataques de ransomware que involucran sistemas raramente vistos por la comunidad cibernética, como los servidores ESXi. Esto ha llevado a sospechar que la red ICS estaba involucrada. Se sabe que el ransomware se ha implementado en numerosos ataques de ransomware dirigidos, incluidas otras empresas de petróleo y gas como Forbes Energy Services y Gyrodata.

Tras otros ataques a gran escala como el de la ciudad de Tulsa y el ransomware REvil que intentó extorsionar a Apple, está claro que los ataques de ransomware son una gran preocupación a nivel mundial. Sin embargo, existe una falta real de acción por parte de las organizaciones para prepararse para los incidentes o incluso para tratar de protegerse en primer lugar.

Datos globales

CPR informó en marzo que los ataques de ransomware habían experimentado un aumento del 57% en el número de ataques desde principios de 2021 en medio de la divulgación de las vulnerabilidades de Microsoft Exchange. Más recientemente, Colonial Pipeline, una importante compañía de combustibles de EE. UU., Fue víctima de un ataque de este tipo y, en 2020, se estima que el ransomware le costó a las empresas de todo el mundo alrededor de $ 20 mil millones, una cifra que es casi un 75% más alta que en 2019.

Desde abril, los investigadores de CPR han visto un promedio de más de 1,000 organizaciones afectadas por ransomware cada semana. Esto sigue a aumentos significativos en el número de organizaciones afectadas en lo que va de 2021: 21% en el primer trimestre del año y 7% desde abril hasta ahora. Estos aumentos han dado como resultado un asombroso aumento general del 102% en el número de organizaciones afectadas por ransomware en comparación con principios de 2020.

Promedio de ataques por industria

Los sectores de la industria que actualmente están experimentando los mayores volúmenes de intentos de ataque de ransomware a nivel mundial son el de la salud, con un promedio de 109 intentos de ataques por organización cada semana, seguido por el sector de servicios públicos con 59 ataques y Seguros / Legal con 34.

Los cinco países principales con más ataques de ransomware

India ha visto la mayor cantidad de intentos de ataques por organización, con un promedio de 213 ataques semanales desde principios de año. Le sigue Argentina con 104 por organización, Chile con 103, Francia 61 y Taiwán 50.

Triple extorsión ransomware: la amenaza de terceros

El éxito de la doble extorsión a lo largo de 2020, sobre todo desde el estallido de la pandemia Covid-19, es innegable. Si bien no todos los incidentes, y sus resultados, se divulgan y publican, las estadísticas recopiladas durante 2020-2021 reflejan la prominencia del vector de ataque. El pago de rescate promedio ha aumentado un 171% en el último año y ahora es de aproximadamente $ 310,000. Más de 1.000 empresas sufrieron filtraciones de datos después negándose a cumplir con las demandas de rescate en 2020, y aproximadamente el 40% de todas las familias de ransomware recién descubiertas incorporaron la infiltración de datos en su proceso de ataque. Como los números reflejan una técnica de ataque de oro, que combina tanto una violación de datos como una amenaza de ransomware, está claro que los atacantes todavía están buscando métodos para mejorar sus estadísticas de pago de rescates y su eficiencia de amenazas.

Los ataques prominentes que han tenido lugar a fines de 2020 y principios de 2021 apuntan a una nueva cadena de ataques, esencialmente una expansión de la técnica de ransomware de doble extorsión, que integra una amenaza adicional y única al proceso, y lo llamamos Triple Extorsión.

En una escala más amplia, en febrero de 2021, el grupo de ransomware REvil anunció que había agregado dos etapas a su esquema de doble extorsión: ataques DDoS y llamadas telefónicas a los socios comerciales de la víctima y los medios de comunicación. El grupo de ransomware REvil, responsable de la distribución del ransomware Sodinokibi, opera en un modelo de negocio de ransomware como servicio. El grupo ahora ofrece ataques DDoS y llamadas VoIP codificadas por voz a periodistas y colegas como un servicio gratuito para sus afiliados, con el objetivo de ejercer más presión sobre la empresa de la víctima para que cumpla con las demandas de rescate dentro del plazo designado.

Parece que incluso en la ola del éxito, los grupos de amenazas buscan constantemente modelos de negocio más innovadores y fructíferos. Solo podemos asumir que el pensamiento creativo y un análisis inteligente del complejo escenario de los ataques de ransomware de doble extorsión han llevado al desarrollo de la tercera técnica de extorsión. Las víctimas de terceros, como los clientes de la empresa, los colegas externos y los proveedores de servicios, se ven fuertemente influenciados y dañados por las violaciones de datos causadas por estos ataques de ransomware, incluso si sus recursos de red no son atacados directamente. Ya sea que se les exija o no un rescate adicional, son impotentes ante tal amenaza y tienen mucho que perder si el incidente toma un rumbo equivocado. Estas víctimas son un objetivo natural para la extorsión y podrían estar en el radar de los grupos de ransomware a partir de ahora.

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre amenazas ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point Software están actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para Gobiernos y empresas corporativas a nivel mundial.  La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

©2021 Check Point Software Technologies Ltd. Todos los derechos reservados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.