Las ganancias del ransomware disminuyen a medida que las víctimas se atrincheran y se niegan a pagar

En otra señal de que la marea finalmente puede estar cambiando contra los actores de ransomware, los pagos de rescate disminuyeron sustancialmente en 2022 a medida que más víctimas se negaron a pagar a sus atacantes, por una variedad de razones.

Si la tendencia continúa, los analistas esperan que los actores de ransomware comiencen a exigir rescates más grandes de víctimas más grandes para tratar de compensar la caída de los ingresos, al tiempo que buscan objetivos más pequeños que tienen más probabilidades de pagar (pero que representan pagos potencialmente más pequeños).

Una combinación de factores de seguridad

“Nuestros hallazgos sugieren que una combinación de factores y mejores prácticas, como preparación de seguridad, sanciones, pólizas de seguro más estrictas y el trabajo continuo de los investigadores, son efectivos para frenar los pagos”, dice Jackie Koven, jefe de inteligencia de amenazas cibernéticas en Análisis en cadena.

Chainanalysis dijo que su investigación mostró que los atacantes de ransomware extorsionó unos 456.8 millones de dólares a las víctimas en 2022, casi un 40% menos que los 765.6 millones de dólares que habían obtenido de las víctimas el año anterior. Es probable que el número real sea mucho mayor teniendo en cuenta factores como el subregistro de las víctimas y la visibilidad incompleta de las direcciones de ransomware, admitió Chainanalysis. Aun así, hay pocas dudas de que los pagos de ransomware se redujeron el año pasado debido a una creciente falta de voluntad de las víctimas para pagar a sus atacantes, dijo la compañía.

“Las organizaciones empresariales que invierten en defensas de seguridad cibernética y preparación para el ransomware están marcando la diferencia en el panorama del ransomware”, dice Koven. “A medida que más organizaciones están preparadas, menos necesitan pagar rescates, lo que en última instancia desincentiva a los ciberdelincuentes de ransomware”.

Otros investigadores están de acuerdo. “Las empresas que están más dispuestas a no pagar son aquellas que están bien preparadas para un ataque de ransomware”, le dice a Dark Reading Scott Scher, analista senior de ciberinteligencia de Intel471. “Las organizaciones que tienden a tener mejores capacidades de copia de seguridad y recuperación de datos están definitivamente mejor preparadas cuando se trata de resistencia a un incidente de ransomware y es muy probable que esto disminuya su necesidad de pagar un rescate”.

Otro factor, según Chainanalysis, es que pagar un rescate se ha vuelto legalmente más riesgoso para muchas organizaciones. En los últimos años, el gobierno de EE. UU. ha impuesto sanciones a muchas entidades de ransomware que operan desde otros países. 

En 2020, por ejemplo, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. dejó en claro que las organizaciones, o quienes trabajan en su nombre, corren el riesgo de violar las reglas de EE. UU. si hacen pagos de rescate a las entidades en la lista de sanciones. El resultado es que las organizaciones se han vuelto cada vez más recelosas de pagar un rescate "si hay incluso un indicio de conexión con una entidad sancionada", dijo Chainanalysis.

“Debido a los desafíos que han tenido los actores de amenazas para extorsionar a las empresas más grandes, es posible que los grupos de ransomware busquen objetivos más pequeños y fáciles que carecen de recursos de ciberseguridad sólidos a cambio de demandas de rescate más bajas”, dice Koven.

Disminución de los pagos de rescate: una tendencia continua

Coveware también publicó un informe esta semana que destacó la misma tendencia a la baja entre los que hacen pagos de rescate. La compañía dijo que sus datos mostraban que solo el 41 % de las víctimas de ransomware en 2022 pagaron un rescate, en comparación con el 50 % en 2021, el 70 % en 2020 y el 76 % en 2019. Al igual que Chainanalysis, Coveware también atribuyó una de las razones de la disminución a mejores preparación entre las organizaciones para hacer frente a los ataques de ransomware. Específicamente, los ataques de alto perfil como el de Colonial Pipeline fueron muy efectivos para catalizar nuevas inversiones empresariales en nuevas capacidades de seguridad y continuidad comercial.

Los ataques que se vuelven menos lucrativos son otro factor en la mezcla, dijo Coveware. Esfuerzos de aplicación de la ley continuar haciendo que los ataques de ransomware sean más costosos de llevar a cabo. Y con menos víctimas pagando, las pandillas obtienen menos ganancias generales, por lo que el pago promedio por ataque es más bajo. El resultado final es que un número menor de ciberdelincuentes pueden ganarse la vida con el ransomware, dijo Coverware.

Bill Siegel, director ejecutivo y cofundador de Coveware, dice que las compañías de seguros han influido de manera positiva en la seguridad empresarial proactiva y la preparación para la respuesta ante incidentes en los últimos años. Después de que las firmas de seguros cibernéticos sufrieran pérdidas sustanciales en 2019 y 2020, muchas han ajustado sus términos de suscripción y renovación y ahora requieren que las entidades aseguradas tengan estándares mínimos como MFA, respaldos y capacitación en respuesta a incidentes. 

Al mismo tiempo, cree que las compañías de seguros han tenido una influencia insignificante en las decisiones empresariales sobre si pagar o no. “Es desafortunado, pero la idea errónea común es que, de alguna manera, las compañías de seguros toman esta decisión. Las empresas afectadas toman la decisión” y presentan un reclamo después del incidente, dice.

Decir “no” a las demandas exorbitantes de ransomware

Allan Liska, analista de inteligencia de Recorded Future, señala que las exorbitantes demandas de rescate en los últimos dos años impulsaron la creciente reticencia de las víctimas a pagar. Para muchas organizaciones, un análisis de costo-beneficio a menudo indica que no pagar es la mejor opción, dice. 

“Cuando las demandas de rescate estaban [en las] cinco o seis cifras, algunas organizaciones podrían haber estado más dispuestas a pagar, incluso si no les gustaba la idea”, dice. “Pero una demanda de rescate de siete u ocho cifras cambia ese análisis, y a menudo es más barato lidiar con los costos de recuperación más cualquier demanda que pueda derivarse del ataque”, dice.

Las consecuencias de la falta de pago pueden variar. En su mayoría, cuando los actores de amenazas no reciben el pago, tienden a filtrar o vender los datos que podrían haber extraído durante el ataque. Las organizaciones víctimas también tienen que lidiar con tiempos de inactividad potencialmente más largos debido a los esfuerzos de recuperación, los gastos potenciales liberados para comprar nuevos sistemas y otros costos, dice Scher de Intel471.

Para las organizaciones que se encuentran en la primera línea del flagelo del ransomware, es probable que la noticia de la disminución reportada en los pagos de rescate sea de poco consuelo. Justo esta semana, Yum Brands, la matriz de Taco Bell, KFC y Pizza Hut, tuvo que cerrar casi 300 restaurantes en el Reino Unido durante un día después de un ataque de ransomware. En otro incidente, un ataque de ransomware contra la empresa noruega de software de gestión de flotas marítimas DNV afectó a unas 1,000 embarcaciones pertenecientes a unos 70 operadores.

La disminución de los ingresos impulsa a las pandillas en nuevas direcciones

Dichos ataques continuaron sin cesar hasta 2022 y la mayoría tampoco espera un respiro de los volúmenes de ataques en 2023. La investigación de Chainanalysis, por ejemplo, mostró que a pesar de la caída de los ingresos por ransomware, la cantidad de cepas únicas de ransomware que los operadores de amenazas implementaron el año pasado aumentó a más de 10,000 solo en la primera mitad de 2022.

En muchos casos, los grupos individuales implementaron múltiples cepas al mismo tiempo para mejorar sus posibilidades de generar ingresos a partir de estos ataques. Los operadores de ransomware también siguieron pasando por diferentes cepas más rápido que nunca: la nueva cepa de ransomware promedio estuvo activa solo durante 70 días, probablemente en un esfuerzo por ofuscar su actividad.

Hay indicios de que la caída de los ingresos del ransomware está ejerciendo presión sobre los operadores de ransomware.

Coveware, por ejemplo, descubrió que los pagos de rescate promedio en el último trimestre de 2022 aumentaron un 58 % con respecto al trimestre anterior a $408,644 342, mientras que el pago medio se disparó un 185.972 % a $XNUMX XNUMX durante el mismo período. La compañía atribuyó el aumento a los intentos de los atacantes cibernéticos de compensar las caídas de ingresos más amplias durante el año. 

“A medida que la rentabilidad esperada de un ataque de ransomware determinado disminuye para los ciberdelincuentes, han intentado compensar ajustando sus propias tácticas”, dijo Coveware. “Los actores de amenazas se están moviendo ligeramente hacia arriba en el mercado para tratar de justificar demandas iniciales más grandes con la esperanza de que resulten en grandes pagos de rescate, incluso cuando su propia tasa de éxito disminuye”.

Otra señal es que muchos operadores de ransomware comenzaron a extorsionar a las víctimas después de extraerles dinero la primera vez, dijo Coveware. La reextorsión ha sido tradicionalmente una táctica reservada para las víctimas de las pequeñas empresas. Pero en 2022, los grupos que tradicionalmente se han dirigido a empresas medianas y grandes también comenzaron a emplear la táctica, probablemente como resultado de las presiones financieras, dijo Coveware.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay