El FBI confirmó en un comunicado que un grupo de ciberdelincuentes profesional llamado DarkSide era responsable del ataque de ransomware en la red Colonial Pipeline. DarkSide funciona en un modelo de Ransomware-as-a-Service (RaaS), donde aprovecha un programa de socios para ejecutar sus ataques cibernéticos. Esto significa que en este momento se sabe poco sobre el actor real detrás del ataque.

Se sabe que DarkSide es parte de una tendencia de ataques de ransomware que involucran sistemas raramente vistos por la comunidad cibernética, como los servidores ESXi. Esto ha llevado a sospechar que la red ICS estaba involucrada. Se sabe que el ransomware se ha implementado en numerosos ataques de ransomware dirigidos, incluidas otras empresas de petróleo y gas como Forbes Energy Services y Gyrodata.

Tras otros ataques a gran escala como el de la ciudad de Tulsa y el ransomware REvil que intentó extorsionar a Apple, está claro que los ataques de ransomware son una gran preocupación a nivel mundial. Sin embargo, existe una falta real de acción por parte de las organizaciones para prepararse para los incidentes o incluso para tratar de protegerse en primer lugar.

Datos globales

Check Point Research (CPR) informó en marzo que los ataques de ransomware habían experimentado un aumento del 57% en el número de ataques desde principios de 2021 en medio de la divulgación de las vulnerabilidades de Microsoft Exchange. Más recientemente, Colonial Pipeline, una importante compañía de combustibles de EE. UU., Fue víctima de un ataque de este tipo y, en 2020, se estima que el ransomware le costó a las empresas de todo el mundo alrededor de $ 20 mil millones, una cifra que es casi un 75% más alta que en 2019.

Desde abril, los investigadores de CPR han visto un promedio de más de 1.000 organizaciones afectadas por ransomware cada semana. Esto sigue a aumentos significativos en el número de organizaciones afectadas en lo que va de 2021: 21% en el primer trimestre del año y 7% desde abril hasta ahora. Estos aumentos han dado como resultado un asombroso aumento general del 102% en el número de organizaciones afectadas por ransomware en comparación con principios de 2020.

Promedio de ataques por industria

Los sectores de la industria que actualmente están experimentando los mayores volúmenes de intentos de ataque de ransomware a nivel mundial son el de la salud, con un promedio de 109 intentos de ataques por organización cada semana, seguido por el sector de servicios públicos con 59 ataques y Seguros / Legal con 34.

Los cinco países principales con más ataques de ransomware

India ha visto la mayor cantidad de intentos de ataques por organización, con un promedio de 213 ataques semanales desde principios de año. Le sigue Argentina con 104 por organización, Chile con 103, Francia 61 y Taiwán 50.

Triple extorsión ransomware: la amenaza de terceros

El éxito de la doble extorsión a lo largo de 2020, sobre todo desde el estallido de la pandemia Covid-19, es innegable. Si bien no todos los incidentes, y sus resultados, se divulgan y publican, las estadísticas recopiladas durante 2020-2021 reflejan la prominencia del vector de ataque. El pago de rescate promedio ha aumentado un 171% en el último año y ahora es de aproximadamente $ 310.000.

Más de 1.000 empresas sufrieron filtraciones de datos después negándose a cumplir con las demandas de rescate en 2020, y aproximadamente el 40% de todas las familias de ransomware recién descubiertas incorporaron la infiltración de datos en su proceso de ataque. Como los números reflejan una técnica de ataque de oro, que combina tanto una violación de datos como una amenaza de ransomware, está claro que los atacantes todavía están buscando métodos para mejorar sus estadísticas de pago de rescates y su eficiencia de amenazas.

Los ataques prominentes que han tenido lugar a fines de 2020 y principios de 2021 apuntan a una nueva cadena de ataques, esencialmente una expansión de la técnica de ransomware de doble extorsión, que integra una amenaza adicional y única al proceso, y lo llamamos Triple Extorsión.

En una escala más amplia, en febrero de 2021, el grupo de ransomware REvil anunció que había agregado dos etapas a su esquema de doble extorsión: ataques DDoS y llamadas telefónicas a los socios comerciales de la víctima y los medios de comunicación.

El grupo de ransomware REvil, responsable de la distribución del ransomware Sodinokibi, opera en un modelo de negocio de ransomware como servicio. El grupo ahora ofrece ataques DDoS y llamadas VoIP codificadas por voz a periodistas y colegas como un servicio gratuito para sus afiliados, con el objetivo de ejercer más presión sobre la empresa de la víctima para que cumpla con las demandas de rescate dentro del plazo designado.

Parece que incluso en la ola del éxito, los grupos de amenazas buscan constantemente modelos de negocio más innovadores y fructíferos. Solo podemos asumir que el pensamiento creativo y un análisis inteligente del complejo escenario de los ataques de ransomware de doble extorsión han llevado al desarrollo de la tercera técnica de extorsión.

Las víctimas de terceros, como los clientes de la empresa, los colegas externos y los proveedores de servicios, se ven fuertemente influenciados y dañados por las violaciones de datos causadas por estos ataques de ransomware, incluso si sus recursos de red no son atacados directamente. Ya sea que se les exija o no un rescate adicional, son impotentes ante tal amenaza y tienen mucho que perder si el incidente toma un rumbo equivocado. Estas víctimas son un objetivo natural para la extorsión y podrían estar en el radar de los grupos de ransomware a partir de ahora.