IB Group ha publicado un nuevo informe sobre los ataques de Ransomware en el último año que concluye que el año pasado, el número de ataques de ransomware aumentó en más de un 150% en comparación con el año anterior. El tiempo de inactividad promedio de la empresa atacada fue de 18 días, y el monto del rescate casi se duplicó a un 170%. El objetivo principal del pirata informático era la red corporativa de grandes empresas de América del Norte, Europa, América Latina y la región de Asia-Pacífico. Incluidos Maze, DoppelPaymer y RagnarLocker, según señala Itworld. El rescate promedio que exigieron a las víctimas fue de entre 1.000.000 y 2.000.000 de dólares estadounidenses.
El año pasado, el número de ataques de ransomware aumentó en más de un 150% en comparación con el año anterior
Las grandes redes corporativas están en riesgo de ataques de ransomware (The Big Game Hunting) que paralizaron el trabajo de gigantes como Garmin, Canon, Campari, Capcom y Foxconn en 2020. El tiempo medio de inactividad empresarial provocado por un ataque fue, como hemos dicho, de 18 días, más de medio mes. La mayoría de los ataques analizados por Group-IB ocurrieron en América del Norte y Europa (esta es la ubicación de las empresas Fortune 500), así como en América Latina y la región de Asia-Pacífico.
Una de las fuerzas impulsoras detrás del rápido desarrollo de los ataques de ransomware es el modelo de ransomware como servicio. La implicación es que los desarrolladores venden o arriendan su malware a socios para que lo utilicen en ataques para interrumpir redes, infectar e implementar ransomware. Luego, todas las ganancias obtenidas en forma de rescates se distribuyen a los operadores y socios del plan. El equipo de Group-IB DFIR señaló que el 64% de todos los ataques de ransomware analizados en 2020 involucraron a operadores que usaban el modelo RaaS.
Otra tendencia en 2020 fue la cooperación entre diferentes grupos criminales. El año pasado, el Sistema de Atribución e Inteligencia de Amenazas del Grupo IB registró 15 nuevas asociaciones públicas de ransomware clandestinas. Los grupos criminales activos que utilizan malware Trickbot, Qakbot y Dridex están ayudando cada vez más a los operadores de ransomware a obtener acceso inicial a las redes corporativas.
El principal vector de ataque para la mayoría de las bandas especializadas en ataques de ransomware son los servidores públicos RDP (52%). Los sitios web falsificados ocuparon el segundo lugar (29%), seguidos por el uso de aplicaciones públicas (17%).
