Para muchas organizaciones y startups, el 2023 fue un año difícil financieramente, con empresas luchando por recaudar dinero y otras haciendo recortes para sobrevivir. Sin embargo, las bandas de ransomware y extorsión tuvieron un año récord en ganancias, según informes recientes.
No es sorprendente cuando se observa el panorama del ransomware. El año pasado, los piratas informáticos continuaron evolucionando sus tácticas para presionar a las víctimas a pagar sus cada vez más exorbitantes demandas de rescate. Esta escalada en las tácticas, junto con el hecho de que los gobiernos no han prohibido los pagos de rescate, llevó a que el 2023 se convirtiera en el año más lucrativo hasta ahora para las bandas de ransomware.
Según nuevos datos de la startup de criptografía Chainalysis, los pagos conocidos de ransomware casi se duplicaron en el 2023, superando la marca de los mil millones de dólares, calificando el año como un «importante regreso para el ransomware».
Esa es la cifra más alta jamás observada, y casi el doble de la cantidad de pagos conocidos de rescate rastreados en el 2022. Pero Chainalysis dijo que la cifra real es probablemente mucho mayor que los $1.1 mil millones en pagos de rescate que han presenciado hasta ahora.
Sin embargo, hay una buena noticia. Aunque el 2023 fue en general un año espectacular para las bandas de ransomware, otros observadores de piratería informática observaron una disminución en los pagos hacia fines del año.
Esta disminución es el resultado de una mejora en las defensas cibernéticas y la resiliencia, junto con el creciente sentimiento de que la mayoría de las organizaciones víctimas no confían en que los hackers cumplan sus promesas o borren cualquier dato robado, como afirma la empresa de remediación de ransomware Coveware.
Mientras que más víctimas de ransomware se niegan a llenar los bolsillos de los hackers, estas bandas están compensando esta disminución de ingresos aumentando el número de víctimas que atacan.
Por ejemplo, la campaña MOVEit vio a la prolífica banda de ransomware Clop masificar una vulnerabilidad nunca antes vista en el ampliamente utilizado software MOVEit Transfer para robar datos de los sistemas de más de 2.700 organizaciones víctimas. Muchas de las víctimas se sabe que pagaron al grupo de piratería para evitar la publicación de datos sensibles.
Si bien es imposible saber exactamente cuánto dinero ganó el pirateo en masa para el grupo de ransomware, Chainalysis dijo en su informe que la campaña MOVEit de Clop recaudó más de $100 millones en pagos de rescate, y representó casi la mitad de todo el valor de ransomware recibido en junio y julio de 2023 durante la cúspide de este pirateo en masa.
MOVEit no fue la única campaña lucrativa del 2023.
En septiembre, el gigante de casinos y entretenimiento Caesars pagó aproximadamente $15 millones a los hackers para evitar la divulgación de datos de clientes robados durante un ciberataque en agosto.
Este pago multimillonario ilustra por qué los actores de ransomware continúan ganando tanto dinero: el ataque de Caesars apenas llegó a las noticias, mientras que un ataque posterior a la compañía hotelera MGM Resorts, que hasta ahora le ha costado a la compañía $100 millones para recuperarse, dominó los titulares durante semanas. La negativa de MGM a pagar el rescate llevó a la liberación por parte de los hackers de datos sensibles de los clientes de MGM, incluidos nombres, números de Seguro Social y detalles de pasaportes. Caesars, al menos aparentemente, pareció en gran medida ilesa, incluso si, según su propia admisión, no podía garantizar que la banda de ransomware eliminara los datos robados de la empresa.
Para muchas organizaciones, como Caesars, pagar la demanda de rescate parece ser la opción más fácil para evitar un desastre de relaciones públicas. Pero a medida que el dinero de rescate se agota, las bandas de ransomware y extorsión están elevando la apuesta y recurriendo a tácticas crecientes y amenazas extremas.
En diciembre, por ejemplo, los piratas informáticos supuestamente intentaron presionar a un hospital de cáncer para que pagara una demanda de rescate amenazando con «swat» a sus pacientes. Los incidentes de swatting se basan en llamadas maliciosas que falsamente reclaman una amenaza falsa del mundo real para la vida, provocando la respuesta de policías armados.
También vimos a la notoria banda de ransomware Alphv (conocida como BlackCat) utilizar las nuevas reglas de divulgación de violaciones de datos del gobierno de EE. UU. en contra de MeridianLink, una de las muchas víctimas de la banda. Alphv acusó a MeridianLink de presuntamente no divulgar públicamente lo que la banda llamó «una violación significativa que compromete datos de clientes e información operativa», por la cual la banda se atribuyó el crédito.
Otra razón por la que el ransomware continúa siendo lucrativo para los hackers es que, aunque no se recomienda, nada impide que las organizaciones paguen, a menos que los hackers hayan sido sancionados.
«Pagar o no pagar el rescate» es un tema controvertido. La empresa de remediación de ransomware Coveware sugiere que si se impusiera una prohibición de pagos de rescate en EE. UU. u otro país altamente victimizado, es probable que las empresas dejen de informar estos incidentes a las autoridades, revirtiendo la cooperación pasada entre las víctimas y las agencias de aplicación de la ley. La empresa también predice que una prohibición de pagos de rescate llevaría a la creación nocturna de un gran mercado ilegal para facilitar pagos de ransomware.
Otros, sin embargo, creen que una prohibición total es la única forma de asegurar que los hackers de ransomware no puedan seguir llenando sus bolsillos, al menos a corto plazo.
Allan Liska, analista de inteligencia de amenazas en Recorded Future, ha sido desde hace mucho tiempo contrario a la prohibición de los pagos de rescate, pero ahora cree que, mientras los pagos de ransomware sigan siendo legales, los ciberdelincuentes harán lo que sea necesario para recolectarlos.
“He resistido la idea de prohibir los pagos de rescate durante años, pero creo que eso tiene que cambiar”, dijo Liska a TechCrunch. “El ransomware está empeorando, no solo en el número de ataques, sino en la naturaleza agresiva de los ataques y los grupos detrás de ellos”.
“Una prohibición de los pagos de rescate será dolorosa y, si la historia es alguna guía, probablemente llevará a un aumento a corto plazo en los ataques de ransomware, pero parece que esta es la única solución que tiene alguna posibilidad de éxito a largo plazo en este momento”, dijo Liska.
Mientras más víctimas se dan cuenta de que pagar a los hackers no puede garantizar la seguridad de sus datos, está claro que estos ciberdelincuentes motivados financieramente no renunciarán fácilmente a sus lujosos estilos de vida. Hasta entonces, los ataques de ransomware seguirán siendo un importante ejercicio de generación de ingresos para los hackers detrás de ellos.