La mayoría de ataques de ransomware solicitan más de 10 millones de dólares a sus víctimas

El ransomware se ha convertido por méritos (o deméritos) propios en una de las amenazas más temidas por usuarios y empresas a nivel mundial. Este malware secuestra equipos informáticos y consigue cifrar datos de interés para pedir un pago económico a cambio de su liberación.

La intensificación de sus ataques durante este año demuestra que los ciberdelincuentes todavía no han exprimido al máximo su potencial.

Un estudio de Barracuda Networks da fe del incremento drástico de los ataques de ransomware y también del importe solicitado en los rescates durante los últimos meses.

En un periodo de doce meses, que va de agosto de 2020 a julio de 2021, los investigadores identificaron 121 incidentes de ransomware, que es un 64 % más que en el periodo anterior. Grandes corporaciones, como las de servicios financieros, viajes y constructoras, componen un grupo que representa el 57 % de los objetivos, incrementado su perfil de víctima en un 18 %.

Los ciberdelincuentes siguen dirigiéndose también a organismos municipales, la sanidad pública e instituciones educativas.

Las empresas que tienen que ver con la infraestructura se llevan el 10 % de los incidentes registrados. De hecho, una tendencia que certifica esta investigación es la ampliación de objetivos hacia infraestructuras críticas y cadenas de suministro de software, donde el impacto es mayor con un solo intento.

“Los delincuentes de ransomware están penetrando progresivamente en los cimientos de nuestra economía digital, desde proveedores de software de confianza hasta proveedores de servicios IT”, añaden los autores del estudio.

Desde el punto de vista geográfico, cerca de la mitad de los ataques se concentra en Estados Unidos (44 %), mientras que un 30 % sucede en la región EMEA (Europa, Oriente Medio y África), un 11 % tiene que ver con Asia-Pacífico y otro 10 %, con Sudamérica. El porcentaje restante se lo reparten entre Canadá y México.

Una parte destacada de los ataques lleva el sello de un grupo reducido de bandas de ciberdelincuencia. REvil, por ejemplo, ha sido la promotora de 2 de cada 10 ataques de ransomware, seguida en importancia por DarkSide, que ha efectuado un 8 %.

¿Y cómo cuelan el ransomware estos delincuentes? El software malicioso se envía a través de emails con archivos adjuntos o enlaces peligrosos. Sólo con abrir ese documento o pinchar en el link, se pueden paralizar operaciones causando graves pérdidas financieras por el tiempo de inactividad y los costes de recuperación.

Otros métodos de actuación son el robo de credenciales a través de phishing y la explotación de las VPN para trabajadores en remoto.

Últimamente los atacantes también aplican la doble extorsión. Roban información y demandan un pago bajo la amenaza de hacerla pública si no se cumple el trato.

La cantidad media exigida en la mayoría de los rescates supera los 10 millones de dólares. Sólo en el 18 % de las ocasiones los ciberdelincuentes pidieron menos dinero y en un 30 % llegaron a irse por encima de los 30 millones.

El auge de las criptomonedas ha provocado un incremento en las cuantías exigidas. Pero, al mismo tiempo, crece el número de empresas que se niegan a pagar el rescate.

¿Qué hacer frente al mal?

Para evitar llegar al momento de plantearse si pagar o no (algo que no se debería hacer) y protegerse desde el principio del ransomware, Barracuda Networks recomienda blindar las credenciales de acceso a servicios de internet. Esto es posible con las capacidades antiphishing de las plataformas de correo y las herramientas de colaboración. Esto está relacionado con asegurar las aplicaciones.

Además de utilizar la autenticación multifactor, hay que reducir el nivel de privilegio que se brinda a cada usuario. Lo mejor es optar por una estrategia Zero Trust. También hay que capacitar a los usuarios para que conozcan las dinámicas de seguridad implementadas en la compañía.

Y, por su puesto, nunca olvidarse de realizar copias de seguridad de los datos. Si, por desgracia, el malware llega al sistema, este backup ayudará a poner el negocio en marcha con facilidad y permitirá no pagar el rescate.

La compañía de software Commvault también ha publicado su propio listado de prácticas para proteger a los negocios frente al ransomware o ayudar a la recuperación cuando se pierde el acceso a la información en entornos críticos.

Su primer consejo consiste en contar con un programa de seguridad de la información que sepa dónde se encuentran los datos más sensibles y qué sistemas los procesan y transmiten.

Las aplicaciones de inventario pueden determinar qué sistemas corren más riesgo, así como la disponibilidad de los servicios y los dispositivos. Las aplicaciones de control basadas ​​en el riesgo que trabajen con un panorama de amenazas en contante evolución, de evaluación proactiva o de acciones correctivas son asimismo de utilidad.

Otro paso es aplicar las mejores prácticas tecnológicas, como utilizar soluciones multicapa, actualizar siempre los sistemas, aplicar soluciones heurísticas y trabajar con sistemas de scoring de reputación de archivos.

Esto tiene que ir complementado por el mantenimiento de copias persistentes en diferentes ubicaciones, las bibliotecas en la nube y una educación correcta de los empleados para que mantengan sus endpoints a salvo.

Commvault aconseja soluciones como el firewall, una política de gestión de contraseñas, rebajar el nivel de privilegios deshabilitar el AutoPlay y el uso compartido de archivos si no hay necesidad, eliminar servicios que tampoco sean imprescindibles, descargar los parches, configurar el servidor de correo para bloquear mensajes y desactivar el Bluetooth de los móviles.