La compañía de ciberseguridad KELA ha analizado la actividad de las organizaciones de ransomware durante el primer trimestre de 2022. Los resultados indican que la tasa de ataques de este tipo ha descendido un 40% con respecto a los tres últimos meses del año pasado.
Aparentemente, esta es una buena noticia para los potenciales objetivos, sin embargo, las empresas no deben relajarse. Y es que, aunque algunas organizaciones criminales han desaparecido del mapa, estas pueden recomponerse si cuentan con los medios y el tiempo suficientes y siempre pueden surgir otras nuevas para ocupar su lugar.
Los investigadores identificaron 698 víctimas en el primer trimestre de este año, un 40% menos con respecto al último de 2021, en el que se reportaron 982. En su informe, la compañía estima que de media se han producido 232 sucesos de este tipo cada mes en lo que llevamos de 2022.
No obstante, estos datos, como suele pasar con las medias, podrían darnos una idea equivocada, ya que el número de incidentes no ha sido regular durante este periodo, sino que ha ido aumentando conforme han ido pasando los meses. En enero, por ejemplo, tan solo se registraron 149 ataques de ransomware, pero las cifras ascendieron significativamente hasta los 325 en marzo.
Probablemente, la causa de este descenso en los ataques radica, como comentamos, en la desaparición de algunos grupos, como REvil, que fueron muy prolíficos el año pasado, pero también en el perfil bajo que han adoptado otros ante la creciente presión de las autoridades. Sin embargo, todo es cuestión de tiempo. Poco a poco, las pandillas de ransomware se van reorganizando y se van atreviendo a salir de sus “madrigueras”. Al fin y al cabo, es su modo de vida y, aunque sea ilícito, posiblemente, es el más rentable que han conocido.
Algunos grupos se han esfumado, pero otros han ocupado su lugar
En esta ocasión, LockBit ha sido la pandilla de ransomware más activa con 226 víctimas en su haber, lo que se traduce en el 32% del total de los casos registrados durante los tres primeros meses del año.
A esta le sigue Conti, una organización que no tuvo ningún reparo en manifestar públicamente su apoyo a Rusia en la guerra de Ucrania. Esta ha sido responsable del 18% de los ciberataques en el mismo periodo. A este porcentaje hay que sumarle el de Karakurt (5%), dado que se sabe que, como mínimo, se trata de un grupo que trabaja estrechamente con ellos, aunque hay quien afirma que directamente pertenecen al mismo “negocio”. Así que, en definitiva, se les puede atribuir el 23% de los casos.
A la cola se encuentran Alphv, Hive y el recién mencionado Karakurt con una tasa de ataques a sus espaldas del 8%, 6% y 5% respectivamente. En cuanto al primero, es importante señalar que es “considerado una amenaza emergente por KELA”, ya que, a pesar de que empezó a darse a conocer hace relativamente poco (diciembre de 2021), parece que ya apunta maneras.
“Si no pagas, revelaremos quién eres”
KELA ya ha publicado otros estudios muy interesantes sobre el modus operandi de algunas pandillas de ransomware, que cada vez utilizan métodos más sofisticados e incluso operan como si de empresas profesionales se tratase (Ransomware-as-a-service), y sus objetivos. Esta vez, han revelado otra estrategia que están adoptando para salirse con la suya más fácilmente.
Han descubierto que algunos actores de amenazas (Midas, Lorenz y Everest) están siendo más considerados -si es que ese adjetivo se puede aplicar en este sentido- con sus víctimas. Sin embargo, no es por generosidad o compasión. Todo responde a una táctica para poder negociar con ellas con mayores garantías y, así, poder obtener más beneficios.
Dicha táctica consiste en no revelar su identidad a la primera de cambio, sino en publicar entradas con datos más generales sobre ellas, que no permitan saber quiénes son. De este modo, no se expone a las víctimas directamente, sino que se les da un margen de tiempo para pagar su rescate a cambio de no exponerlas públicamente, algo que acabará pasando si deciden no satisfacer sus exigencias.
Aprovechándose del miedo de estas compañías a que su nombre no salga a la luz, las bandas criminales pretenden que, al negociar en secreto, paguen una cantidad más acorde a sus expectativas económicas, lo que sería más complicado si esa información ya fuera pública desde un principio.
Países y sectores más afectados
Con respecto a los países más afectados, Estados Unidos lidera el ranking con casi un 40% de los casos de ransomware perpetrados durante el primer trimestre de 2022, seguido de Reino Unido, Italia, Alemania y Canadá. El trimestre anterior, Francia era uno de los cinco países más afectados, pero, en esta ocasión, ha sido reemplazado por Italia.
Por otro lado, los sectores más perjudicados por esta situación han sido los de la fabricación, la industria, los servicios profesionales y la tecnología; pero el financiero también ha acabado entrando en el top 5, ya que el número de víctimas de este tipo ha aumentado un 40% con respecto al último trimestre, sobre todo porque se ha convertido en uno de los principales objetivos de los ciberataques de LockBit.
Imagen de mohamed_hassan en Pixabay