Las víctimas del ransomware se niegan a pagar y reducen las ganancias de los atacantes


Agrandar / Atracar corporaciones, servicios públicos y hospitales por datos cifrados con malware solía ser bastante rentable. Pero es un concierto difícil últimamente, ¿sabes?

ifanfoto/Getty Images

Dos nuevos estudios sugieren que el ransomware ya no es tan lucrativo a escala empresarial como solía ser. Las ganancias para las billeteras de los atacantes y el porcentaje de víctimas que pagan cayeron drásticamente en 2022, según dos informes separados.

Chainalysis, una firma de análisis de blockchain que ha trabajado con varias agencias gubernamentales y de aplicación de la ley, sugiere en una publicación de blog que, según los pagos a direcciones de criptomonedas que identificó como conectadas a ataques de ransomware, los pagos a los atacantes cayeron de $ 766 millones en 2021 a $ 457 millones el año pasado. La firma señala que los datos de su billetera no proporcionan un estudio exhaustivo del ransomware; tuvo que revisar su total de 2021 al alza de $602 para este informe. Pero los datos de Chainalysis sugieren que los pagos, si no los ataques, han disminuido desde su pico pandémico.

Los datos de Chainalysis de las billeteras de ransomware sugieren una marcada disminución en los pagos a los atacantes el año pasado, aunque es posible que la cantidad de ataques no haya disminuido tanto.
Agrandar / Los datos de Chainalysis de las billeteras de ransomware sugieren una marcada disminución en los pagos a los atacantes el año pasado, aunque es posible que la cantidad de ataques no haya disminuido tanto.

La publicación de Chainalysis también muestra a los atacantes cambiando entre cepas de malware más rápidamente, y los atacantes más conocidos mantienen sus fondos en los principales intercambios de criptomonedas en lugar de los destinos ilícitos y de mezcla de fondos que eran más populares en los tiempos de auge del ransomware. Esto podría parecer una señal de un mercado maduro con un costo de entrada más alto. Pero hay más que la economía típica, sugiere Chainalysis.

Los atacantes más pequeños a menudo cambian entre diferentes proveedores de ransomware como servicio (RaaS) y realizan varios tipos de pruebas A/B en los objetivos. Y las cepas específicas de malware traen diferentes factores de riesgo a las negociaciones de rescate. Cuando se descubrió que Conti, una importante variedad de ransomware, se coordinaba con el Kremlin y el Servicio Federal de Seguridad (FSB) de Rusia, las víctimas tenían otra razón, las sanciones gubernamentales, para no pagar. CD Projekt Red, creador de los juegos Ciberpunk 2077 y El Brujofue uno de los reductos notables.

Los líderes de Conti se separaron y terminaron trabajando dentro de otros grupos de ransomware, señala Chainalysis. Entonces, si bien el ransomware puede parecer un mercado enorme con miles de participantes, sigue siendo un grupo pequeño y rastreable de actores principales que se pueden monitorear.

La investigación de Coveware sugiere una tendencia gradual a la baja en los pagos de ransomware, menos un pico cerca del punto álgido de la pandemia de COVID-19.
Agrandar / La investigación de Coveware sugiere una tendencia gradual a la baja en los pagos de ransomware, menos un pico cerca del punto álgido de la pandemia de COVID-19.

La firma de análisis de seguridad cibernética Coveware está viendo tendencias similares, informando que las víctimas que pagan cayeron del 85 por ciento en el primer trimestre de 2019 al 37 por ciento en el cuarto trimestre de 2022. La firma atribuye esto a inversiones en seguridad y planificación de respuesta, mejoras en la recuperación de fondos por parte de las fuerzas del orden público y arresto de actores, y los efectos combinados de menos pagos que empujan a los atacantes de ransomware fuera del mercado.

La mayor parte de eso se alinea con el informe de Chainalysis, pero Coveware tiene algunas estadísticas sorprendentes. Los pagos de rescate promedio y mediano aumentaron considerablemente en el último trimestre de 2022 con respecto al trimestre anterior. El tamaño medio de una víctima de ransomware también aumentó, con un pico particular a niveles récord en la última mitad de 2022. Coveware sugiere que este es otro resultado de la restricción de pago de los atacantes. Dirigirse a empresas más grandes permite una mayor demanda inicial, y más empresas intentan volver a extorsionar a las víctimas, algo que anteriormente solo practicaban las empresas más pequeñas que apuntan a empresas más pequeñas. “Los grupos RaaS se preocupan menos que sus predecesores por mantener su reputación”, explica la publicación de Coveware. “Los actores de ransomware están ante todo impulsados ​​por la economía, y cuando la economía es lo suficientemente grave, se rebajarán a niveles de engaño y duplicidad para recuperar sus pérdidas”.

Se pueden encontrar más datos, gráficos y ejemplos en las publicaciones de blog de Chainalysis y Coveware, como lo detectó por primera vez Dark Reading.