2024 fue un año en el que el ransomware experimentó cambios significativos y las criptomonedas continuaron desempeñando un papel central en la extorsión, según un informe de Chainalysis.
No obstante, la cifra total de pagos de rescate cayó interanualmente en un 35%, impulsada por las mayores operaciones llevadas a cabo por las fuerzas del orden, la mejora de la colaboración internacional y la creciente negativa de las víctimas a aflojarse el bolsillo.
Teniendo en cuenta esto, muchas bandas decidieron cambiar de táctica y aparecieron nuevas cepas de ransomware mediante códigos renombrados, filtrados o comprados, lo que muestra un entorno de amenazas más adaptable y ágil.
Otro cambio significativo que se ha dado ha sido que las operaciones ahora son más rápidas, con las negociaciones iniciándose a las pocas horas de la exfiltración de datos.
Durante el pasado ejercicio los atacantes recibieron unos 813,55 millones de pagos de las víctimas, una disminución del 35% con respecto a 2023, cuando los cibermalos recaudaron 1.250 millones de dólares. Esta disminución se ha producido por primera vez desde 2022.
El valor extorsionado por los atacantes de ransomware entre enero y junio de 2024 habría alcanzado los 459,8 millones, un 2,38% más que el valor extorsionado en el mismo intervalo de 2023. Además, en estos primeros seis meses hubo pagos excepcionalmente grandes, como el de 75 millones de dólares a Dark Angels.
Sin embargo, a partir de julio las cosas cambiaron. En el segundo semestre del año hubo una disminución en algunos tipos de delitos relacionados con las criptomonedas, como el robo de fondos. La desaceleración fue de casi un 35%.
Los grupos de ciberdelincuentes más peligrosos
Akira, que ha tenido entre sus víctimas a 250 entidades desde marzo de 2023, es la única cepa de las 10 principales en el primer semestre que ha incrementado sus esfuerzos durante la segunda mitad de 2024.
Por su parte, Lockbit, interrumpida por una operación internacional, vio disminuir los pagos durante el segundo semestre en un 79%, demostrando la eficacia de la colaboración internacional entre las fuerzas del orden.
Esta banda, tratando de ser relevante por haber sido condenada al ostracismo por gran parte de la comunidad clandestina tras la acción policial, publicó hasta un 68% de víctimas repetidas o inventadas en su página de filtración de datos.
BlackCat (ALPHV) abandonó el panorama de las estafas en enero de 2024, dejando un vacío en el segundo semestre.
Otro fenómeno interesante ha sido el auge de RansomHub Raas, que absorbió a muchos de los operadores desplazados de LockBit y BlackCat. Fue la que registró el mayor número de víctimas el pasado ejercicio, pese a haber surgido en febrero.
“El mercado nunca volvió al status quo anterior tras el colapso de LockBit y BlackCat/ALPHV. Vimos un aumento de actores solitarios, pero no vimos que ningún grupo absorbiera rápidamente su participación de mercado, como habíamos visto que sucediera después de cierres y desmantelamientos de alto perfil anteriores. El ecosistema actual de ransomware está plagado de muchos recién llegados que tienden a centrar sus esfuerzos en los mercados de tamaño pequeño a mediano, que a su vez están asociados con demandas de rescate más modestas”, señala la firma.
La cantidad de eventos de ransomware aumentó en el segundo semestre, pero los pagos en cadena disminuyeron, sugiriendo que se apuntó a más víctimas, pero se pagó menos.
En 2024 se hallaron 56 nuevos sitios de filtración de datos, más del doble que los identificados en 2023, según Allan Liska, analista de inteligencia de amenazas en Recorded Future.
Los datos de respuesta a incidentes muestran que la brecha entre las cantidades exigidas y pagadas sigue aumentando; en el segundo semestre de 2024, hubo una diferencia del 53 % entre los dos factores. Los informes de las empresas de respuesta a incidentes sugieren que la mayoría de los clientes optan por no pagar en absoluto, lo que significa que la brecha real es mayor que la que sugieren las cifras.