Los pagos de ransomware ransomware efectuados el año pasado, cuyo costo promedio estuvo entre $ 1 millón y $ 2 millones, atrajeron a nuevos grupos al ciberdelito, que se enfocaron en grandes empresas, principalmente en Norteamérica y Europa. Un estudio global realizado por la empresa de ciberseguridad Group-IB revela que los ataques de ransomware se duplicaron con creces en 2020 y aumentaron en escala y sofisticación.
Basado en datos de más de 500 ataques analizados en el trabajo de respuesta a incidentes, Group-IB ha elaborado un informe completo para proporcionar una descripción general de la evolución del negocio de ransomware y las tácticas, técnicas y procedimientos (TTP) utilizados en los ataques que resultaron en el cifrado de los sistemas de la víctima.
Los ataques de ransomware se han vuelto más grandes y más dinámicos, con las operaciones de algunos grupos de piratas informáticos prominentes, aunque algunos han sido cancelados debido a acciones policiales o se han “retirado”. Sin embargo, cada vez más operadores de ransomware tienen sitios de filtración donde publican datos robados a víctimas que no pagan el rescate.
Además, otros grupos han iniciado operaciones que siguieron el exitoso modelo de ransomware como servicio (RaaS), los llamados programas afiliados, o se ocuparon de todas las etapas del ataque, desde encontrar y comprometer a las víctimas hasta implementar malware de cifrado. Archivos en la víctima. red de la empresa y negociar el rescate.
Entre los nuevos jugadores que se unieron a la industria de ransomware multimillonaria en 2020 se encuentran Conti, Egregor y DarkSide. Según los datos de Group-IB, las dos primeras se han vuelto tan prolíficas que tienen un lugar en las cinco primeras bandas con más ataques.
El informe señala que todos los grupos siguen un modelo de negocio en el que todos los involucrados se centran en lo que hacen mejor: desarrollo de malware, acceso inicial, movimiento lateral. Los beneficios se comparten entre los operadores del programa RaaS y los afiliados.
El equipo de respuesta a incidentes y análisis forense digital (DFIR) del Group-IB descubrió que el 64% de todos los ataques de ransomware que analizó en 2020 provinieron de operadores que usaban el modelo RaaS. La prevalencia de los programas de afiliados en el mundo del ciberdelito fue la tendencia predominante durante el último año.
Según los datos de Group-IB, este enfoque condujo a un aumento del 150% en los ataques el año pasado y un aumento en el valor promedio del rescate a $ 170,000. Estos números son similares a las estadísticas de la compañía de remediación de ransomware Coveware, que vio un cargo de rescate promedio de $ 154,108 en el cuarto trimestre de 2020.
Sin embargo, los actores más codiciosos, como Maze, DoppelPaymer, ProLock y RagnarLocker, exigieron rescates mucho más altos, con un promedio de entre $ 1 millón y $ 2 millones. Pero hubo pagos de cifras mucho mayores, que alcanzaron los US $ 34 millones.
Grupo IB dice que, en términos de impacto en las víctimas, los ataques de ransomware causaron un promedio de 18 días de inactividad el año pasado.
Para el acceso inicial a una red, los operadores de ransomware generalmente confiaban en botnets como Trickbot, Qakbot, Bazar, Buer o IcedID, con quienes se asociaron específicamente para este propósito.
Por lo general, los piratas informáticos pasan 13 días dentro de la red comprometida antes de implementar el proceso de cifrado. Durante este tiempo, se mueven por la red y aumentan su control, identifican y eliminan copias de seguridad para aumentar el impacto del ataque.
El principal vector de compromiso fueron los servicios remotos externos, principalmente RDP (Remote Desktop Protocol), seguido del phishing y la explotación de aplicaciones dirigidas al público en general (Citrix, WebLogic, servidores VPN, Microsoft Exchange).
Para ayudar a las empresas a mantenerse al día sobre cómo operan las bandas de ransomware, Group-IB mapeó los TTP más comunes observados durante sus acciones de respuesta a incidentes, según la base de conocimientos de Mitre ATT & CK.
Con base en sus hallazgos, los investigadores predicen que la amenaza del ransomware continuará creciendo y los actores se adaptarán para hacerla aún más rentable, utilizando variantes de Linux con más frecuencia y avanzando o cambiando sus técnicas, por ejemplo, enfocándose en robar datos para extorsión y abandono. cifrado.
Además, comprometer las redes corporativas para la reventa a afiliados de ransomware se convertirá en un mercado más rentable, ya que más jugadores querrán unirse al juego que genera mucho dinero. El Grupo IB también dice que se involucrarán más actores de amenazas respaldados por el estado, tanto para recompensas financieras como para fines disruptivos.
Oleg Skulkin, analista forense digital senior de Group-IB, dice que el ransomware se ha convertido en “una industria organizada de miles de millones de dólares con competencia interna, líderes del mercado, alianzas estratégicas y varios modelos comerciales”.
Fuente: https://www.cisoadvisor.com.br/multibilionaria-industria-de-ransomware-chega-a-cobrar-us-34-mi-de-resgate/?rand=59052
