Clicky

El número de ataques de ransomware aumentó en más del 150%

Informe ataques de ransomware

El monto promedio del rescate aumentó casi al doble

A fines de 2020, el mercado de ransomware, impulsado por la turbulencia de la pandemia, se había convertido en la más grande arteria de dinero del ciberdelito.

Según el análisis de más de 500 ataques observados durante los compromisos de respuesta a incidentes y la actividad de inteligencia de amenazas cibernéticas del propio Group-IB, los investigadores estiman que la cantidad de ataques de ransomware creció en más del 150% en 2020.

En 2020, los ataques de ransomware causaron en promedio 18 días de inactividad para las empresas afectadas, mientras que el monto promedio del rescate aumentó casi al doble.

Las operaciones de ransomware se convirtieron en estructuras comerciales sólidas y competitivas que persiguen a las grandes empresas, y el año pasado las bandas Maze, Conti y Egregor estuvieron a la vanguardia. América del Norte, Europa, América Latina y Asia-Pacífico se convirtieron en las regiones más atacadas, respectivamente.

La fiebre del oro de 2020

La COVID-19 hizo que muchas organizaciones, distraídas con la mitigación de las consecuencias de la pandemia, fueran vulnerables a las amenazas cibernéticas. El ransomware resultó ser el que más capitalizó la crisis. Los ataques no solo crecieron en número, sino también en escala y sofisticación: la demanda promedio de rescate aumentó en más del doble y en 2020 ascendió a $ 170.000.

La norma parece estar cambiando hacia los millones. Los investigadores descubrieron que Maze, DoppelPaymer y RagnarLocker eran los grupos más codiciosos, y sus demandas de rescate promediaban entre $ 1 millón y $ 2 millones.

A nivel técnico, el año pasado los servidores RDP de cara al público fueron el objetivo más común de muchas bandas de ransomware. En el contexto de la pandemia que provocó que muchas personas trabajaran desde casa, el número de estos servidores creció exponencialmente. En el 52% de todos los ataques, analizados por Group-IB, se utilizaron servidores RDP de acceso público para obtener acceso inicial, seguidos de phishing (29%) y explotación de aplicaciones de cara al público (17%).

Ransomware 2020-2021, familias

El Big Game Hunting (ataques de ransomware dirigidos contra empresas adineradas) continuó siendo una de las tendencias definitorias en 2020. Con la esperanza de asegurar el mayor rescate posible, los adversarios perseguían a las grandes empresas. Las grandes empresas no pueden permitirse el tiempo de inactividad, con un promedio de 18 días en 2020. Los operadores estaban menos preocupados por la industria y más centrados en la escala. No sorprende que la mayoría de los ataques de ransomware, que analizó Group-IB, ocurrieran en Norteamérica y Europa, donde se encuentran la mayoría de las empresas Fortune 500, seguidas de Latinoamérica y Asia-Pacífico respectivamente.

La posibilidad de ganar dinero fácil llevó a muchas bandas a unirse al Big Game Hunting. No tardaron en llegar los actores de amenazas patrocinados por el estado que fueron vistos llevando a cabo ataques por motivos económicos. Grupos como Lazarus y APT27 comenzaron a usar ransomware durante sus operaciones.

Conti, Egregor y DarkSide se unieron en 2020 a la fiebre del oro del ransomware. Muchos de ellos fueron tan prolíficos que llegaron a la cima de las bandas más activas en su año de debut. Las 5 familias de ransomware más activas, según Group-IB, fueron Maze, Conti, Egregor, DoppelPaymer y REvil. No todos duraron mucho por varias razones.

La creciente amenaza del ransomware lo ha puesto en el centro de atención de las fuerzas del orden. Algunas bandas que operan bajo el modelo Ransomware-as-a-Service (RaaS), como Egregor y Netwalker, se vieron afectadas por los esfuerzos de la policía. Otro notorio colectivo de RaaS, Maze, se desmanteló a finales de 2020. A pesar de estos eventos, el negocio del ransomware continúa prosperando, siendo el modelo Ransomware-as-a-Service una de las fuerzas impulsoras detrás de este fenomenal crecimiento.

Crimen muy organizado

Ransomware-as-a-Service involucra a los desarrolladores que venden/alquilan malware a los afiliados del programa para un mayor compromiso de la red y la implementación de ransomware. Las ganancias se comparten entre los operadores y los afiliados del programa.

Este modelo de negocio en el que todos se centran en lo que hacen mejor puede generar millones, ya que las ganancias solo se limitan a la cantidad de afiliados que los operadores pueden atraer. El equipo de Group-IB DFIR observó que el 64% de todos los ataques de ransomware que analizó en 2020 provinieron de operadores que usaban el modelo RaaS.

Jesus_Caceres