Por secuestro de datos se pagó en criptomonedas 1,100 millones de dólares
Tras un descenso significativo en 2022, el aumento del 94% registrado el año pasado demuestra que el ransomware es una amenaza que solo va a empeorar. El panorama del secuestro de datos experimentó una importante escalada en la frecuencia, alcance y volumen de ataques directos, lo que provocó que las víctimas pagaran más de 1,100 millones de dólares en criptomonedas a los ciberdelincuentes en el 2023, según el Informe sobre Criptodelincuencia 2024 de Chainalysis.
Para Chainalysis, la estrategia de los ciberdelincuentes es la “caza” de víctimas en la red que tienen la capacidad de pagar hasta 1 millón de dólares o más para el rescate del secuestro de datos, ya que el 75% del volumen de pagos se dio por esa cantidad objetivo.
«Este máximo histórico de pagos por ransomware demuestra que es una amenaza latente que empeorará. Adicionalmente al pago por el rescate de datos, los 1,100 millones de dólares, las empresas asumen pérdidas que afectan directamente su productividad, costes asociados a la reparación de sus ecosistemas. Por ejemplo, la compañía MGM no accedió a pagar ningún rescate, pero registró pérdidas que superaban los 100 millones de dólares», explicó Jackie Koven, Responsable de Inteligencia sobre Ciberamenazas de Chainalysis.
«Entender el ecosistema del ransomware es vital para identificar posibles ataques y desmontar las “estrategias de robo de datos”. Debido a que su impacto es global, este tema requiere del esfuerzo gubernamental, de los organismos encargados de hacer cumplir la ley, de los proveedores de tecnología expertos en ciberataques y del apoyo de las organizaciones de víctimas que buscan ser informados con transparencia para hacer frente a estos ataques», añadió Koven.
En el 2023, de forma alarmante, los investigadores de Chainalysis identificaron el aumento de nuevos “jugadores” y cepas de ransomware, atraídos por el potencial de sus beneficios y las pocas barreras de entrada. Un ejemplo de ello fue la creciente popularidad y facilidad de acceso al ransomware de servicios como -RaaS-, en el cual personas ajenas que se hacían pasar como afiliados, atacaban con un software malicioso, a cambio de beneficios.
Según, Koven, así operan los grupos de secuestro de datos y sus afiliados: «El crecimiento de los intermediarios de acceso inicial (IAB) han facilitado a los delincuentes la realización de ataques de ransomware. Como su nombre indica, los IAB penetran en las redes de las víctimas potenciales y luego venden ese acceso a los atacantes de ransomware por tan solo unos cientos de dólares. Los IAB, combinados con los RaaS disponibles en el mercado, hacen que se requieran muchos menos conocimientos técnicos para llevar a cabo un exitoso ataque de ransomware. Encontramos una correlación entre los flujos de entrada a las billeteras IAB y un aumento en los pagos de ransomware, lo que sugiere que el monitoreo de IAB podría proporcionar señales de alerta temprana y permitir una posible intervención y mitigación de los ataques.»
Chainalysis logró rastrear el movimiento de los fondos del ransomware, descubriendo cómo se blanquean estos fondos. El año pasado, por ejemplo, se identificó que las tácticas empleadas por los ciberdelincuentes muestran un nivel muy bajo de concentración de fondos recibidos de monederos vinculados al ransomware, mientras que los servicios de apuestas, los activos que se mantienen en múltiples cadenas – Cross-Chain Bridge– y las entidades sancionadas, mostraron los niveles más altos de concentración de fondo.
«Esa dinámica, antes preferida por los ciberdelincuentes, es el resultado del desmantelamiento de sus métodos tradicionales de blanqueo de fondos. La aplicación de algunas políticas de seguridad más sólidas como AML/KYC y la evolución de las esas preferencias del blanqueo de fondos por parte de los delincuentes, afima Koven, “ha hecho que el rompecabezas criminal sea mucho más claro para las autoridades, quienes tienen el objetivo con acabar con esta forma de ciberdelincuencia”.
