Los ataques de ransomware siguen a la orden del día. Raro es que haya una jornada en la que no os informemos en Escudo Digital de algún incidente de este tipo en una empresa, entidad pública, etc. La transformación digital impulsada por la pandemia y el conflicto de Ucrania -con su particular ciberguerra paralela entre los dos bloques y quienes los apoyan- han hecho que estas amenazas se hayan hecho muy frecuentes desde 2020.
Sin embargo, parece que los pagos de los rescates que van asociados a estos ciberataques y que son la principal motivación de los piratas informáticos para seguir llevando a cabo estas campañas empiezan a flaquear.
Un informe que acaba de publicar la firma de investigación en blockchain Chainalysis señala que las víctimas de ransomware se gastaron 456,8 millones de dólares en rescates durante 2022. Parece una cifra elevada, pero supondría una reducción del 40,3% en relación a la cantidad obtenida por los cibermalos a través de esta vía en el ejercicio anterior. En 2021 la cifra ascendió a 765,6 millones.
Estos datos podrían tratarse solo de estimaciones, ya que en muchas ocasiones en las que las empresas o instituciones atacadas sí deciden aceptar el chantaje y aflojarse el bolsillo los ataques de ransomware no llegan a salir a la luz. No obstante, las cifras resultan muy reveladoras.
"Como siempre, debemos advertir estos hallazgos al señalar que los totales reales son mucho más altos, ya que hay direcciones de criptomonedas controladas por atacantes de ransomware que aún no se han identificado en la cadena de bloques ni se han incorporado a nuestros datos", explican desde la firma autora del estudio. "Aún así, la tendencia es clara: los pagos de ransomware han disminuido significativamente", apostillan.
Lo cierto es que en los últimos meses algunos estados de EE.UU. y otros países han creado regulaciones o normas por las que obligan a las compañías u organismos víctimas del ransomware a comunicar dichos ataques a las pocas horas de saber de su existencia.
Además, estos nuevos marcos legales también les prohíben pagar los rescates, ya que estarían contribuyendo a financiar a grupos que en ciertos casos, cuando su objetivo son infraestructuras críticas, casi pueden ser considerados como terroristas. Estas medidas también podrían haber sido decisivas para una reducción de los pagos.
El ransomware sigue muy vivo
Pese a todo esto, Chainallysis deja claro que el ransomware no ha desaparecido ni por asomo. De hecho, las cepas únicas que se encuentran operativas se disparó en 2022. La compañía de seguridad Fortinet registró más de 10.000 activas en la primera mitad del ejercicio. Los datos en la cadena de bloques confirman que la cifra se ha incrementado de manera significativa en los últimos años.
Aun así, hay algunas familias de ransomware que destacan por llevarse la mayor parte de la recaudación. Los pagos a Conti cayeron desde que este grupo manifestara públicamente su apoyo a Rusia tras la invasión de Ucrania.
Al mismo tiempo, nuevas cepas como Royal, BlackBasta o Play se han erigido. Este hueco también ha sido aprovechado por otras pandillas como Hive.
Cepas de ransomware que viven menos
El informe también pone de manifiesto que la vida útil del ransomware continúa disminuyendo. Las cepas son reemplazadas en menos tiempo.
La variante promedio permaneció activa durante solo 70 días, frente a los 153 días de media de 2021 y a los 265 de 2020. Desde Chainalysys sospechan que pueda deberse a que los atacantes estén esforzándose por ser menos visibles con su actividad, ya que muchos trabajan con distintas variantes.
Los datos del estudio también revelan que la mayoría de actores de amenazas de ransomware envían los fondos que han obtenido con sus extorsiones a exchanges centralizados.
De hecho, la proporción de fondos de ransomware destinados a los principales exchanges creció del 39,3 % en 2021 al 48,3 % en 2022, mientras que el porcentaje destinado a los exchange de alto riesgo cayó del 10,9 % al 6,7 %. El uso de servicios ilícitos como los markets de la red oscura para el lavado de dinero con ransomware también disminuyó, mientras que el uso de mixers aumentó del 11,6 % al 15,0 %.
Todo queda en "familia"
Chainalysis asegura que la rotación entre las distintas variantes y la aparición de otras nuevas sugiere que el mundo del ransomware está abarrotado, con una gran cantidad de organizaciones criminales que compiten entre sí y nuevos participantes que llegan al negocio.
Sin embargo, la firma señala que "aunque muchas cepas están activas durante todo el año, es probable que la cantidad real de personas que conforman el ecosistema de ransomware sea bastante pequeña". Así han podido constatar que muchos afiliados a RaaS (ransomware as a service) llevan a cabo ataques con varias cepas.
"Entonces, si bien es posible que docenas de cepas de ransomware hayan estado técnicamente activas durante 2022, es probable que muchos de los ataques atribuidos a esas cepas hayan sido realizados por los mismos afiliados", sentencia.