El reciente ataque al Servicio Público de Empleo Estatal (SEPE) volvió a poner al ransomware de actualidad, aunque este malware no ha parado de atacar a empresas e instituciones públicas en los últimos años. Sus víctimas pueden ser desde grandes compañías como Telefónica a pymes para las que un rescate puede suponer la ruina, y sus extorsiones se han multiplicado y encarecido al calor de la pandemia de coronavirus, según el informe Ransomware Threat Report de la multinacional de ciberseguridad Palo Alto Networks.
De acuerdo con el citado documento, durante 2020 el rescate medio solicitado por los ciberdelincuentes para liberar archivos secuestrados por ransomware fue de 312.500 dólares en Europa, Estados Unidos y Canadá, por los 115.000 dólares de media de 2019. Estas cifras suponen que durante el primer año de la pandemia de coronavirus el monto medio solicitado por los ciberdelincuentes aumentó un 171% con respecto al año anterior.
Las cifras solicitadas para los rescates también amentaron en 2020. De acuerdo con los datos recabados por Palo Alto Network de más de 337 víctimas de 39 países diferentes, la cantidad más alta solicitada por los ciberdelincuentes a través de un ataque por ransomware fue de 30 millones de dólares, por los 15 millones solicitados en 2019.
El rescate más alto pagado en 2020 alcanzó los 10 millones de dólares, por los 5 millones de dólares de 2019.
EEUU y la industria manufacturera, los más afectados
Entre los países que más ataques por ransomware han sufrido destaca, con mucho, Estados Unidos. Las empresas e instituciones norteamericanas fueron objeto del 47% de las agresiones globales con este malware en 2020, seguida a bastante distancia por Canadá (12%) y Alemania (8%).
En cuanto a los sectores más afectados por ataques de ransomware, la industria manufacturera fue la víctima preferida de estos ciberdelincuentes con un total de 45 víctimas en todo el mundo en 2020, seguida del sector de servicios legales y profesionales (36 víctimas), empresas de construcción (35 víctimas), grandes tecnológicas (32 víctimas) y compañías de retail (31 víctimas).
El único dato positivo de este informe es que durante 2020 los ataques contra instituciones sanitarias bajaron considerablemente con respecto a 2019. En el extremo opuesto están las grandes tecnológicas, que sufrieron casi un 75% más de ataques en 2020 que en 2019.
Ryuk, el azote de 2020
Ryuk, el tipo de ransomware que atacó el SEPE la semana pasada, ha sido uno de los más usados por los ciberdelincuentes para secuestrar datos en 2020. Según Palo Alto Networks, las solicitudes de rescate por este tipo de malware han oscilado entre los 600.000 y los 10 millones de dólares, y sus víctimas preferidas fueron entidades gubernamentales, de salud, compañías energéticas y grandes tecnológicas. La divisa elegida para el pago fue el bitcoin.
Otras familias de ransomware que tuvieron especial protagonismo en 2020 fueron Maze, Defray777, WastedLocker o NetWalker. Además, las variantes de este malware se multiplicaron durante el pasado año y desde Palo Alto Network aseguran que son mucho más fáciles de obtener en la deep web que antes.
El informe señala que la pandemia de coronavirus ha tenido un impacto crucial en el aumento de los ataques por ransomware y en el incremento de las cifras solicitadas para los rescates. Tanto el aumento del uso de internet en los confinamientos alrededor del mundo como la extensión del teletrabajo han hecho que la eficacia de estos ataques se haya multiplicado, ya que a mayor uso de la red, más posibilidades de abrir el correo o el enlace que contiene el malware.
Asimismo, Palo Alto Networks destaca que el uso de equipos domésticos para trabajar, sin la suficiente ciberprotección empresarial, y el recorte en los presupuestos de seguridad informática derivado de la mala situación económica a la que la pandemia ha arrastrado a algunas empresas, también han tenido bastante influencia en el aumento de la eficacia de los ataques de ransomware.
Doble extorsión
Otro fenómeno que ha aumentado en 2020 es el de la doble extorsión. Los ataques tradicionales de ransomware cifraban los archivos en el host de la organización víctima y pedían un rescate para liberarlos. En caso de no pagar, los ciberdelincuentes borraban toda es información.
Sin embargo, los delincuentes informáticos han incorporado a esa extorsión una nueva: la amenaza de publicación o venta de esos archivos a terceros. Y es que las variantes de ransomware más modernas no sólo cifran los datos, también los extraen y los envían a los servidores de los ciberdelincuentes, de modo que les dan la posibilidad de pedir un rescate tanto por levantar el cifrado que los bloquea en el host de la organización como por no difundirlos.
De acuerdo con los datos de Ransomware Threat Report, 151 organizaciones de Estados Unidos padecieron esta doble extorsión en 2020 y acabaron viendo sus documentos publicados en internet. El segundo país en el que más instituciones sufrieron esta filtración de documentos por ataques de ransomware fue Canadá (39), y el tercero Alemania (26). En esa lista, España ocupa el 14º lugar con 3 organizaciones afectadas.
La prevención, fundamental
La única forma efectiva de evitar que un ataque de ransomware provoque serios contratiempos a cualquier institución es la prevención, como ya contamos en Xataka. Y es que la complejidad para resolver los ataques de ransomware a posteriori es tan elevada que en muchas ocasiones no se pueden recuperar los archivos encriptados.
Por ello, es recomendable realizar auditorías continuas de vulnerabilidades, formar a los usuarios en buenas prácticas y hacer copias de seguridad de la información crítica de la organización de forma exhaustiva.
Ver 0 comentarios