¿Qué es ransomware? La amenaza que no cesa
Si el año pasado teníamos que hablar de que los primeros 12 meses de pandemia habían supuesto multitud de nuevas ventanas de oportunidad para los ciber criminales, en el último año el número de ataques parece haberse moderado. Los cambios tecnológicos que la mayoría de organizaciones tuvieron que implementar para permitir el teletrabajo multiplicaron las vulnerabilidades de los sistemas y los riesgos asociados y la incertidumbre causada por la pandemia sirvió de gancho para multiplicar los ataques de ransomware y phishing.
Los ataques por ransomware han pasado de ser algo anecdótico a convertirse en una amenaza recurrente que genera crisis profundas en las empresas o sistemas atacados.
Los ataques mediante ransomware llevan más de 30 años entre nosotros. Sin embargo, desde que el primer malware de este tipo fue programado en 1989 y se lanzó el primer ataque informático mediante un troyano, conocido como PC Cyborg o AIDS Trojan, el escenario de la ciberseguridad ha evolucionado mucho. Las amenazas se han multiplicado, los malwares son cada vez más sofisticados y las técnicas de ransomware, más complicadas.
Tras la aparición de bitcoin, los ciber delincuentes vieron en las criptomonedas una nueva oportunidad para solicitar rescates imposibles de rastrear a cambio de frenar el ataque. Esta es la razón principal de que en la última década los incidentes de secuestro de datos y extorsión o ransomware hayan crecido de forma exponencial. Analizamos qué ha sucedido en 2021 y qué nos espera para este nuevo año.
Sin embargo, a medida que las cosas han ido volviendo a la normalidad y las organizaciones han ido ganando experiencia, los riesgos se han ido controlando. Según los datos de Hiscox, en los inicios de 2021 se registraron grandes ataques, pero durante el resto del año el crecimiento se fue frenando en comparación con el año anterior. Aun así, de acuerdo con el 2022 Cyber Threat Report elaborado por SonicWall, esta tendencia no parece haber afectado a los ataques de ransomware, que siguen al alza y se duplicaron durante 2021. Además, 2022 ha arrancado con una nueva fuente de riesgos en este campo: el conflicto en Ucrania.
Tendencias emergentes en ransomware
Ransomware 2022
LEER MÁS
En nuestro informe anterior, señalábamos cuatro tendencias emergentes en el entorno ransomware: la doble extorsión, los ataques dirigidos, el uso del correo electrónico y el phishing como puerta de entrada y el endurecimiento del mercado asegurador. Todas ellas siguen plenamente vigentes y alguna ha incluso ganado en complejidad. Estas son las cuatro grandes tendencias en ransomware para 2022.
El ataque por ransomware más habitual consiste en infectar un sistema informático con un malware, un programa capaz de encriptar datos valiosos para la organización. Los atacantes solicitan un pago, normalmente en criptomonedas, a cambio de desencriptar la información y permitir que la entidad siga funcionando con normalidad. Sin embargo, las formas de extorsión se han ido multiplicando en los últimos años.
Ataques de ransomware dirigido
De acuerdo con Panda, durante 2021, los sectores que más sufrieron este tipo de ataques dirigidos fueron las empresas de la cadena de suministro de la industria y de los servicios. Además, según los datos de TechTarget, la educación, el comercio minorista y las empresas tecnológicas también son objetivo habitual de este tipo de ataques. Estas últimas son a menudo utilizadas también como puerta de entrada a otras organizaciones. Es habitual que un ataque a un proveedor de soluciones IT se convierta en un ataque múltiple a diferentes organizaciones.
El ciber crimen como servicio (CaaS, por sus siglas en inglés) es cada vez más habitual. A grandes rasgos, consiste en que las organizaciones ciber criminales alquilan sus servicios o sus herramientas al mejor postor. Esto multiplica las amenazas, ya que permite que cualquier personas o entidad pueda estar detrás de un ataque con una inversión mínima, independientemente de sus conocimientos técnicos.
El mercado asegurador continúa en un momento duro
Más allá del ransomware, los ataques a la cadena de suministro son sin duda una amenaza emergente que desafortunadamente sigue contribuyendo al endurecimiento del mercado asegurador. Mientras se sigan experimentando ataques a empresas que proporcionan soluciones y servicios de ciberseguridad, a agencias gubernamentales o a grandes corporaciones tecnológicas, los precios y las condiciones de los ciber seguros seguirán endureciéndose.
Auge del ransomware as-a-service
21 34
Por lo general, los ataques por ransomware no afectan en exclusiva a ningún tipo de empresa. De hecho, más de un 70 % de los incidentes de este tipo tiene como objetivo pequeñas y medianas empresas de todo tipo, según los datos de la plataforma de soluciones de ciberseguridad Panda. Sin embargo, durante los últimos dos años se ha experimentado un auge de los llamados ataques de ransomware dirigido. Es decir, ataques desarrollados con el único objetivo de atacar a una empresa concreta.
En este sentido, el ransomware as-a-service es cada vez más habitual. De hecho, se ha convertido en un modelo comercial muy rentable para los desarrolladores de ransomware. Este tipo de herramientas de software se anuncian en la dark web de forma que cualquier persona u organización interesada en lanzar un ataque pueda alquilarlas de forma sencilla.
De acuerdo con el último informe de WTW al respecto, los seguros de ciberriesgos son, junto a los de D&O, RC Profesional y daños materiales, los que más afectados se están viendo por el endurecimiento del mercado. Esto afecta a los precios (que siguen subiendo), a las políticas de suscripción, a las coberturas y exclusiones, al apetito de las compañías aseguradoras (que siguen limitando las exposiciones de sus carteras) y al número de siniestros rechazados.
De la doble a la múltiple extorsión
La doble extorsión, que implica, además del encriptado, la amenaza de publicar los datos, es una de las más habituales. Pero en el último año se ha registrado también un aumento de la triple extorsión (ataques de denegación de servicio o DDOS contra cualquier intento de la organización de recuperar la actividad), cuádruple (a todo lo anterior se suma la amenaza de extorsionar también a los clientes de la organización) e incluso quíntuple (también se amenaza con vender los datos a la competencia).
Las brechas de datos en empresas más comunes Los ciberataques a empresas pueden tener muchos objetivos. Sin embargo, es muy común que se centren en los datos. ¿Te gustaría saber cómo proteger tu negocio? Descúbrelo con nosotros. LEER MÁS
• Phoenix Locker. Este malware, vinculado probablemente al grupo HADES, fue utilizado el año pasado para atacar los servidores y la infraestructura IT de una de las mayores aseguradoras de Estados Unidos. Se estima que se bloqueó el contenido de más de 15 000 dispositivos y la compañía tuvo que pagar más de 50 millones de dólares para hacerse de nuevo con el control de su sistema.
• DarkSide. Este grupo, conocido por tener un código ético propio que solo le permite atacar a ciertas organizaciones y le obliga a donar parte de los rescates, protagonizó dos de los incidentes más sonados de 2021. En primer lugar, logró bloquear la red de oleoductos por la que pasa un tercio de la gasolina de Estados Unidos. Solo un mes más tarde, atacó y sustrajo 150 GB de datos de una importante compañía química. En ambos casos solicitó cantidades elevadas de bitcoin a cambio de parar los ataques.
• DoppelPaymer. Este grupo volvió a ser responsable de uno de los mayores rescates solicitados en 2021, como ya lo fue en 2020. En febrero del año pasado solicitó más de 400 bitcoins (20 millones de dólares en los precios del momento) a una conocida marca del sector de la automoción. Sus ataques siguen centrándose en el sector financiero y en el industrial.
Los ataques de ransomware siguen siendo la forma de financiación más lucrativa para los cibercriminales. Los principales grupos de delincuentes cibernéticos siguen actuando y causaron algunos de los mayores ataques de 2021, si bien durante el año pasado también ganaron relevancia actores que hasta ahora no habían causado grandes incidentes.
Principales malwares utilizados en 2021
• Babuk. Este grupo de origen ruso ocupó los titulares en dos ocasiones durante el último año. La primera fue tras atacar y sustraer más de 250 GB de datos de los servidores de la policía de Washington DC, capital y centro político de Estados Unidos. La segunda fue cuando uno de los fundadores del grupo decidió hacer público el código fuente completo del ransomware utilizado, algo que a corto plazo podría favorecer la lucha contra este tipo de amenazas.
• REvil. Este grupo, también conocido como Sodinokibi, es otro de los que repite en la lista de ataques más destacados. La organización logró robar datos de una gran compañía de soluciones tecnológicas y pidió un rescate de más de 50 millones de dólares al tiempo que amenazaba con hacer pública toda la información sustraída, una de sus tácticas más habituales.
Los costes de un ciberataque son elevados. Desde los precios de contar con expertos para defenderse (sean internos o externos) hasta los costes de recuperar la continuidad del negocio, pasando por cualquier gasto legal o el impacto en la reputación de la compañía, un incidente mediante ransomware puede acabar teniendo un peso elevado en la cuenta de resultados. Por ello, el último pilar de la estrategia de ciberseguridad pasa por estar correctamente asegurado frente a los ciberriesgos. mitigar y transferir la amenaza del ransomware? cómo nuestras soluciones pueden ayudarte a mitigar y a transferir el ciberriesgo asociado a la brecha de datos.
Muchos de los ataques mediante ransomware utilizan sistemas de acceso remoto a la red de la organización infectando el equipo de algún empleado. Por ello es importante establecer sistemas de doble autenticación o utilizar redes privadas virtuales (VPN, por sus siglas en inglés) para establecer un muro que dificulte el acceso a los atacantes.
Además, los expertos de WTW subrayan que, por muy sofisticados que sean los ataques, el elemento humano sigue siendo fundamental. Las estrategias de ciberseguridad deben estar centradas en las personas, tanto a la hora de tener en cuenta el comportamiento de los empleados y los riesgos que puede generar como para desplegar planes de formación e información en ciberriesgos.
Por último, toda estrategia de ciberseguridad debe contar con un plan de respuesta que permita actuar de forma ágil y efectiva ante la mínima señal de ciberataque. Además de ayudar a contener la infección, estos planes deben servir para que los principales responsables sepan cómo actuar y qué pasos seguir para minimizar el impacto financiero, operacional y reputacional del incidente.
SABER MÁS
A medida que el panorama de ciberriesgos en general, y de ransomware en particular, se complica, las herramientas para combatir las amenazas deben también ganar en sofisticación. De acuerdo con los expertos en ciberseguridad de WTW, las organizaciones deben desarrollar una estrategia de defensa en profundidad, que establezca procedimientos de copias de seguridad, refuerzo de la autenticación, planes de actualizaciones, monitorización de la red y una estrategia clara de gestión de riesgos humanos.
Conoce
Mantener backups actualizados de todos los datos y archivos críticos es clave para minimizar el impacto de un ataque por ransomware. Una copia de seguridad debidamente protegida permite restaurar los sistemas a un punto reciente el tiempo con pérdidas mínimas de información y evitar así pagar un rescate. Estas copias de seguridad deben estar almacenadas al margen de la red de la organización, tanto en la nube como en sistemas físicos.
¿Cómo
La solución pasa por reforzar la estrategia de ciberseguridad
Fernando Sevillano Ph.D. Head of Cyber Risk Consulting Western Europe & M:Latam+34 654 519 fernando.sevillano@willistowerswatson.235com
Carmen Segovia Director of Cyber Risk M. +34 carmen.segovia@willistowerswatson.com656313098
WTW empresa líder en consultoría global, broking y soluciones, ayuda a los clientes de todo el mundo a convertir el riesgo en un camino hacia el crecimiento. Con una historia que se remonta a 1828, WTW cuenta hoy con 45.000 empleados en más de 140 países. Diseña y ofrece soluciones que gestionan el riesgo, optimizan los beneficios, desarrollan el talento y potencian la capacidad del capital, para proteger y fortalecer a instituciones y particulares. Su punto de vista le permite conocer la conexión entre el talento, la experiencia y el conocimiento – una fórmula dinámica que potencia los resultados y el futuro crecimiento del negocio.
Copyright © 2022 WTW. All rights reserved. wtwco.com/es-ES
Sobre WTW
Más CarolinainformaciónDaantje
Head of Cyber and Crime (Finex) Cyber Champion de España M+ 34 carolina.daantjeS@willistowerswatson.com608220419