El viejo adagio de que el crimen nunca paga no podría ser más erróneo, al menos para los ciberdelincuentes modernos. Para los malos que usan ransomware como arma, el crimen paga más que nunca.
empresa de seguridad cibernética emisoft Se estima que el verdadero costo global del ransomware en 2020, incluida la interrupción del negocio y los pagos de rescate, oscilará entre un mínimo de $ 42 mil millones y un máximo de casi $ 170 mil millones.
una encuesta Tecnología Veritas El 66 por ciento de las víctimas admitió haber pagado parte o la totalidad del rescate, según un informe publicado el miércoles por la empresa Managed Detection and Response. eSentire.
El informe, escrito por el equipo de investigación de seguridad de eSentire, conocido como Unidad de Respuesta a Amenazas (TRU), encontró que seis bandas de ransomware se han cobrado al menos 290 nuevas víctimas en lo que va del año. Para los piratas informáticos, el botín combinado podría alcanzar los 45 millones de dólares.
Los investigadores corporativos de eSentire se asociaron con el investigador de darknet Mike Mayes para rastrear los grupos de ransomware Ryuk/Conti, Sodin/REvil, CLOP y DoppelPaymer. También rastrearon dos bandas cibernéticas emergentes llamadas DarkSide y Avaddon.
La pandilla DarkSide debería hacer sonar algunas campanas familiares.es el equipo a cargo Ataque de ransomware de tubería colonial A principios de este mes.
TRU de Esentire y Hayes descubrieron que grupos específicos atacaron a cientos de víctimas en 2020 y piratearon colectivamente 292 nuevos grupos de víctimas entre el 1 de enero y el 30 de abril de este año. Los investigadores estiman que el rescate promedio pagado por las organizaciones aumentó de $115 123 en 2019 a $312 493 en 2020, un aumento del 171 % año tras año.
«Ha habido muchos ataques exitosos de ransomware que han causado daños a las empresas más allá de cualquier idea pública. Realmente no hay industria/negocio de ningún tipo que no sea un objetivo potencial de estos grupos», dijo a TechNewsWorld el vicepresidente de eSentire, Mark Sangster.
Tabla de Contenidos
El negocio de la piratería está en auge
Los ataques de ransomware son frecuentes. Las víctimas a menudo no revelan sus gastos debido a la vergüenza o la pérdida de la confianza pública. Sin embargo, los grupos de piratas informáticos no son tímidos a la hora de autoinformar sus ataques exitosos en sus blogs personales/sitios de fuga.
El informe eSentire identificó tres nuevos ataques en los últimos tres meses:
- Tata Steel: comprometido por el grupo de ransomware Sodin/REvil en abril. Tata Steel se negó a pagar el rescate de $4 millones.
- Distrito escolar del condado de Broward: invadido por la pandilla Ryuk/Conti en marzo. Los actores de amenazas exigieron $ 40 millones, que el distrito escolar dijo que no pagarían.
- Quanta Computer, fabricante de la próxima generación de MacBook de Apple, también fue atacada por Sodin/REvil. Según los informes, los piratas informáticos de abril exigieron $ 50 millones, primero a Quanta, que se negó a extorsionar, y luego a Apple.
Pero los investigadores señalan que a pesar de la creciente cobertura mediática de los ataques de ransomware, la exposición mediática de las organizaciones víctimas es una gota en el océano en comparación con los incidentes reales.
Un incidente de ransomware que ocurrió el mes pasado, pero que nunca se hizo público, involucró a una pequeña empresa estadounidense de propiedad privada. Los actores de amenazas exigieron $ 12 millones de la compañía, según un alto empleado del grupo que pidió no ser identificado.
Con los ataques cibernéticos creciendo a un ritmo alarmante, la inteligencia de amenazas cibernéticas (CTI) se ha convertido en un componente crítico de los programas de seguridad cibernética.Sin inteligencia, las organizaciones vuelan a ciegas en cielos tormentosos, cortesía de Dov Lerner, jefe de investigación de seguridad Ciber seis branquias.
«A un nivel estratégico, CTI permitirá a los ejecutivos comprender el panorama de amenazas y evaluar el riesgo que enfrenta su organización. A un nivel más táctico, CTI se utiliza para bloquear indicadores de intrusión maliciosa y detectar datos comprometidos», dijo Lerner a TechNewsWorld.
Agregó que a medida que se digitalizan más negocios y actividades cotidianas, los actores de la red oscura tienen más oportunidades de consumir y explotar datos confidenciales publicados en plataformas clandestinas. El ciberdelito clandestino seguirá creciendo, y la pandemia y la crisis económica pueden llevar a que más actores amenazantes busquen actividades financieras ilícitas y, más recientemente, a una retórica política agresiva.
éxito incuestionable
Sangster dijo que sus investigadores confían plenamente en que los grupos que afirman haber pirateado son reales por varias razones, entre ellas:
- Cada uno de los grupos de ransomware en los detalles del informe proporcionó muchos ejemplos de los diversos archivos y documentos que afirmaron haber robado a las empresas víctimas. Además, todos parecen auténticos.
- Los investigadores han visto a grupos de amenazas publicar una víctima en su sitio de fuga. Más tarde, posiblemente semanas después, el objetivo declaró públicamente que había sufrido un ataque de ransomware.
- No sirve de nada que estos grupos de ransomware mientan a las víctimas que afirman haber sido pirateadas. Si publicaran una víctima que no filtraron en su sitio de filtración, la noticia se correría rápidamente y ninguna víctima les pagaría.
«Nuestro equipo de investigación de seguridad TRU y el investigador de la red oscura Mike Mayes profundizaron en la red oscura y pasaron mucho tiempo analizando los blogs/filtraciones de estos seis grupos de ransomware, también analizamos TTP Hemos reunido a estos grupos siguiéndolos desde que comenzaron su ola de delitos», dijo Sangster.
Agregó que los investigadores acaban de concluir todos sus hallazgos y están compartiendo detalles con varias agencias de aplicación de la ley.
Lista de ataques ampliada
Esentire y Mayes descubrieron que los seis grupos de ransomware que rastrearon para este informe no solo seguían apuntando a los sospechosos habituales: gobiernos estatales y locales, distritos escolares, bufetes de abogados, hospitales y organizaciones de atención médica.Han ampliado su lista de éxitos para incluir fabricantes, empresas de transporte/logística y empresas de construcción en los EE. UU., Canadá, América del Sur, Francia y el Reino Unido.
Aquí hay un resumen de las nuevas víctimas que generó esta lista ampliada de ataques:
Ryuk/Kandy
El grupo de ransomware Ryuk/Conti surgió por primera vez en agosto de 2018. Sus víctimas iniciales suelen ser organizaciones estadounidenses. Estos incluyen empresas de tecnología, proveedores de atención médica, instituciones educativas, proveedores de servicios financieros y numerosas organizaciones gubernamentales estatales y locales.
La pandilla atacó a 352 organizaciones en total, comprometiendo a 63 empresas y organizaciones del sector privado solo este año. TRU examinó a 37 de las 63 víctimas de Ryuk, 16 de las cuales eran fabricantes de todo, desde equipos médicos hasta hornos industriales, equipos de radiación electromagnética y software de gestión escolar.
Según los informes, Ryuk está siendo atacado por empresas de transporte/logística, empresas de construcción y organizaciones de atención médica en 2021.
Sotin/REvil
Sodin/REvil enumeró 161 nuevas víctimas este año, de las cuales 52 eran fabricantes, así como algunas instituciones médicas, empresas de transporte/logística y empresas de construcción. En marzo, el grupo atacó al fabricante de computadoras y productos electrónicos Acer y exigió un rescate de 50 millones de dólares.
Como se mencionó anteriormente, cuando Quanta Computer, que fabrica computadoras portátiles para Apple, se negó a negociar, los delincuentes de Sodin supuestamente recurrieron a Apple para pedir un rescate. Los piratas informáticos de Sodin publicaron una advertencia en su blog llamado «Blog feliz» de que si no les pagaban, publicarían lo que afirman ser detalles técnicos del hardware actual y futuro de Apple.
DoppelPaymer
El grupo de ransomware DoppelPaymer surgió en 2019. El sitio web del grupo DoppelPaymer afirma que 59 víctimas han infectado a 186 víctimas solo en 2021 desde su debut. Las víctimas incluyeron numerosas organizaciones gubernamentales estatales y locales, así como varias instituciones educativas.
En diciembre de 2020, el FBI emitió una advertencia: «Desde finales de agosto de 2019, actores no identificados han utilizado el ransomware DoppelPaymer para cifrar datos de víctimas en industrias críticas de todo el mundo, como atención médica, servicios de emergencia y educación. Esto interrumpe el acceso de los ciudadanos». a los servicios.”
Muchas de las pymes que el grupo afirma que son víctimas nunca han sido denunciadas en los medios, ni muchas entidades del sector público. Una excepción es la Oficina del Fiscal General de Illinois, que descubrió por primera vez el ataque DoppelPaymer el 10 de abril de 2021.
Chicharrón (Cl0p)
El ransomware Clop surgió por primera vez en febrero de 2019 y se hizo más conocido en octubre de 2020, cuando sus operadores se convirtieron en el primer grupo en exigir un rescate de más de 20 millones de dólares.Víctima, empresa tecnológica alemana compañía de software,negarse a pagar.
Klopp fue noticia este año por seleccionar los datos robados de las víctimas y recuperar la información de contacto de los clientes y socios de la empresa, instándolos por correo electrónico a que las empresas de las víctimas paguen el rescate.
lado oscuro
DarkSide es un grupo de ransomware relativamente nuevo. La TRU de Esentire comenzó a rastrearlo en diciembre, aproximadamente un mes después de su aparición. El operador afirma en su blog/sitio web de filtraciones que ha infectado a un total de 59 organizaciones, 37 de ellas para 2021.
Las víctimas se encuentran en los EE. UU., América del Sur, Medio Oriente y el Reino Unido. Incluyen fabricantes de diversos productos, como empresas de energía, empresas de ropa, empresas de viajes.
A última hora del 13 de mayo, se cerró el sitio web de blogs/fugas de DarkSide, y el actor de amenazas de DarkSide afirmó que no tenía acceso a la infraestructura utilizada para ejecutar sus operaciones y que se cerraría. El aviso cita el sabotaje de las agencias de aplicación de la ley y la presión del operador estadounidense hasta que se cerró el sitio web de DarkSide, que había dicho constantemente que estaban entregando el malware a través de un modelo de ransomware como servicio.
Los operadores de DarkSide afirman que son como Robin Hood, que solo persiguen empresas rentables que pueden pagar el rescate. Según el informe de eSentire, los operadores del grupo también señalaron que no atacarían hospitales, centros de cuidados paliativos, hogares de ancianos, funerarias y empresas involucradas en el desarrollo y distribución de vacunas contra el covid-19.
Avatón
La demanda de ransomware de los operadores de Avaddon apareció por primera vez en febrero de 2019 y afirman que infectaron a 88 víctimas en su vida, 47 de ellas en 2021. Nueve ataques de ransomware siguieron el modelo de ransomware como servicio.
Sus operadores permitieron que los afiliados usaran el ransomware y pagaron una parte de las ganancias a los desarrolladores de Avaddon. Según Esentire, los actores de amenazas de Avaddon también brindan a las víctimas soporte y recursos las 24 horas del día, los 7 días de la semana, para comprar Bitcoin, probar archivos descifrados y otros desafíos que podrían evitar que las víctimas paguen el rescate.
Cómo evitar ataques de ransomware
Según eSentire, los grupos de ransomware están causando estragos en más entidades de las que el público cree. Ninguna industria es inmune a este flagelo de ransomware que ocurre en todas las regiones y sectores.
Esentire recomienda los siguientes consejos para defenderse de los ataques de ransomware:
- Todos los archivos críticos se respaldan y almacenan sin conexión
- Requerir autenticación multifactor para acceder a los servicios de red privada virtual (VPN) o protocolo de escritorio remoto (RDP) de su organización
- Solo permitir que los administradores accedan a los dispositivos de red mediante servicios de VPN
- Los controladores de dominio son los principales objetivos de los atacantes de ransomware.Asegúrese de que su equipo de seguridad tenga visibilidad de su red de TI mediante agentes de detección y respuesta de punto final (EDR) e inicio de sesión centralizado en controladores de dominio (DC) y otros servidores
- Aplicar el principio de privilegio mínimo al personal
- Deshabilitar RDP si no se usa
- Parchee sus sistemas regularmente, priorizando sus sistemas críticos de TI
- Implementar la segmentación de la red
- Formación obligatoria de sensibilización de usuarios para todos los empleados de la empresa
«Desde la perspectiva de la industria de la seguridad cibernética, existen algunos servicios, herramientas y estrategias de seguridad muy efectivos que las empresas pueden usar para ayudarlos en gran medida a proteger datos y aplicaciones valiosos de amenazas cibernéticas como ransomware, violaciones de correo electrónico comercial, espionaje cibernético y violaciones de datos, —aconsejó Sangster.