Los investigadores de ciberseguridad de Digital Shadows han analizado el volumen de ataques de ransomware durante el tercer trimestre de 2021 y han descubierto algunos datos relevantes durante el proceso. Las empresas de servicios y bienes industriales son los objetivos más frecuentes de los ciberdelincuentes y Estados Unidos es el país más afectado por sus ataques.
Sin duda, este año las bandas de ransomware han sabido dónde apuntar para obtener los mayores beneficios posibles. No hay más que citar a algunas de sus víctimas recientes y las consecuencias devastadoras que supusieron esos ataques no sólo para ellas, sino también para sus clientes o todo un país.
Los casos más sonados de 2021
El caso de Kaseya, que se saldó con aproximadamente 1.500 empresas clientes afectadas, fue uno de los más sonados y, además, fue el preludio del cierre temporal de varios portales de REvil, la organización a la que se le atribuye dicho incidente. La compañía consiguió una clave de descifrado gracias a “un tercero de confianza”, que nunca fue revelado. De esta forma, Kaseya, que estuvo en jaque durante varias semanas, pudo evitar pagar el rescate, por lo que la historia acabó teniendo un final feliz.
La situación del oleoducto Colonial Pipeline y la proveedora de carne JBS Foods fue algo más complicada. Al tratarse de infraestructuras críticas, el ataque no sólo supuso daños para estas compañías, sino que pusieron contra las cuerdas a todo Estados Unidos, por lo que se vieron obligadas a pagar el rescate exigido por los ciberdelincuentes.
Después de esos episodios, el gobierno de Biden se puso serio, poniendo en marcha todos los medios a su disposición para luchar contra este tipo de ataques y equiparándolos al mismo nivel que otras actividades terroristas. Esto puso sobre aviso a muchas de estas organizaciones que decidieron resurgir con otros nombres o mantener un perfil bajo para no llamar demasiado la atención.
Las autoridades recomiendan no pagar el rescate en ningún caso, ya que esto animaría a los ciberdelincuentes a continuar actuando, al ver que sus actividades les proporcionan enormes y rápidos beneficios. Sin embargo, muchas compañías deciden optar por esa vía, dado que consideran que es el método más efectivo para retomar su actividad, recuperar los datos comprometidos o evitar filtraciones. De hecho, según una encuesta reciente, el 83% de las víctimas pagaron en los últimos 12 meses.
El sector industrial es el principal objetivo
Digital Shadows ha examinado el panorama del ransomware durante el tercer trimestre, el plazo comprendido entre el 1 de julio y el 30 de septiembre, y ha publicado algunos detalles interesantes. Como señalan su informe, “las tácticas de doble extorsión (cifrado y exfiltración) y los sitios de fuga de datos generalmente causaron el mayor impacto público, pero otras variantes de ransomware siguieron siendo exitosas sin la necesidad de datos”.
Para obtener los resultados, han analizado 35 sitios de filtración de datos donde se mencionaron 571 víctimas sólo en dicho periodo, lo que supone una disminución del 13% con respecto al segundo trimestre de 2021, posiblemente, a causa de la actividad policial y el consiguiente cierre de varios sitios relacionados con las bandas criminales.
A pesar de ver haber disminuido la cantidad de amenazas en este periodo, el sector de los bienes y servicios industriales, al igual que durante todo 2021, sigue siendo el principal objetivo de ransomware ya que es uno de los más críticos y, por ende, supone una mayor garantía de éxito y rentabilidad para los actores de amenazas. El número de ataques a dicho sector ha disminuido un 42% con respecto al trimestre anterior. Según los investigadores, probablemente, se deba a que los ciberdelincuentes se están dirigiendo a una gama más amplia de sectores, pero esto no quita que siga siendo el más afectado.
En segundo lugar, encontramos el sector tecnológico, que se trata de un caso especial ya que la tasa de ataques aumentó (29,8%) en lugar de una disminuir al igual que en otros ámbitos como las compañías de salud (31,8%) o los ya mencionados servicios industriales. A este le siguen los sectores de construcción y materiales, los servicios legales y los servicios financieros.
España, el noveno del ranking
Con respecto a los países más perjudicados por este tipo de incidentes, Estados Unidos se lleva la palma superando con creces al resto con casi 250 víctimas en su haber. Canadá es el segundo de la lista, pero no llega ni de lejos a los niveles de su vecino. Todo parece indicar que el continente norteamericano es el principal objetivo de las bandas criminales. Y es que, de todas las víctimas de ransomware mencionadas en los sitios analizados, el 47% pertenecían a estos dos países.
Después de ambos, Alemania se sitúa en tercera posición, seguida de Reino Unido y Francia. Por su parte, España también tiene el dudoso honor de formar parte del top 10. Concretamente, se coloca en el noveno puesto del ranking.
LockBit 2.0, la banda más activa
Por último, cabe destacar que LockBit 2.0 fue la banda más activa durante el tercer trimestre con una diferencia abismal con respecto a las demás. Esta organización nació en julio de este año, aunque el término “nacer” tal vez no sea el más apropiado.
“Renacer” es, posiblemente, más adecuado, ya que es el nuevo nombre que adoptó LockBit para reaparecer. El sitio de la banda nombró a 203 víctimas distintas durante el tercer trimestre, casi el triple que Conti, el segundo de la lista con 71. Su víctima más popular durante ese periodo fue Accenture.
Imagen de TheDigitalArtist en Pixabay