Una encuesta global que analizó la experiencia de las víctimas de ransomware destaca la falta de confiabilidad de los actores de ransomware, ya que en la mayoría de los casos de pago del rescate, la extorsión simplemente continúa.
Este no es un descubrimiento sorprendente o nuevo, pero al verlo reflejado en estadísticas reales, uno puede apreciar la escala del problema en su totalidad.
La encuesta fue realizada por el especialista en ciberseguridad Venafi, y los hallazgos más importantes que surgen de los encuestados son los siguientes:
- El 18% de las víctimas que pagaron el rescate aún tenían sus datos expuestos en la dark web.
- El 8% se negó a pagar el rescate y los atacantes intentaron extorsionar a sus clientes.
- El 35% de las víctimas pagaron el rescate, pero aún no pudieron recuperar sus datos.
En cuanto a las tácticas de extorsión del actor de ransomware, estas se resumen a continuación:
- El 83% de todos los ataques exitosos de ransomware incluyeron extorsión doble y triple.
- El 38% de los ataques de ransomware amenazaron con usar datos robados para extorsionar a los clientes.
- El 35% de los ataques de ransomware amenazaron con exponer datos robados en la web oscura.
- El 32% de los ataques amenazaron con informar directamente a los clientes de la víctima sobre el incidente de violación de datos.
La falta de credibilidad en las promesas vacías de los actores de ransomware a sus víctimas se debe a varios factores.
Primero, la mayoría de las operaciones de RaaS son de corta duración, por lo que simplemente buscan maximizar sus ganancias en el menor período de tiempo posible. Como tal, no les importa la reputación a largo plazo.
En segundo lugar, muchos afiliados renegados no siguen las reglas establecidas por los principales operadores de ransomware, y hacer cumplir estas reglas rara vez se considera una prioridad para estos grupos.
En tercer lugar, incluso si los datos no se filtran de inmediato, los restos de las violaciones de datos pueden mantenerse durante mucho tiempo en múltiples sistemas de actores de amenazas y casi siempre encuentran su camino hacia la comunidad más amplia de ciberdelincuentes, tarde o temprano.
Un circulo vicioso
Como subraya Venafi en su informe, pagar el rescate solo motiva a los delincuentes a volver por más, ya que envía la señal de que la víctima ve esto como la forma más fácil de salir del problema, lo cual no es más que una ilusión.
«Las organizaciones no están preparadas para defenderse contra el ransomware que extrae datos, por lo que pagan el rescate, pero esto solo motiva a los atacantes a buscar más», comenta Kevin Bocek, vicepresidente de Venafi.
«La mala noticia es que los atacantes están cumpliendo con las amenazas de extorsión, ¡incluso después de que se haya pagado el rescate! Esto significa que los CISO están bajo mucha más presión porque es mucho más probable que un ataque exitoso cree una interrupción del servicio a gran escala que afecte a los clientes».
Lo anterior coincide con los hallazgos de otro informe publicado ayer por Proofpoint , que presenta los resultados de una encuesta de miles de empleados y cientos de profesionales de TI en siete países.
El 70 % de los participantes de la encuesta afirma haber experimentado al menos un ataque de ransomware en 2021. El 60 % optó por negociar con los atacantes y muchos de ellos terminaron pagando el rescate más de una vez.
En resumen, el mejor enfoque para las víctimas es no ceder a las demandas de ransomware, sino restaurar los sistemas y los datos a partir de las copias de seguridad y alertar a las autoridades policiales y de protección de datos sobre el incidente.
Todo lo demás es inútil considerando que todos los escenarios eventualmente conducen al mismo resultado, con la única diferencia de que los actores del ransomware se enriquecen y alimentan su motivación para continuar.