Cada pago a los autores de ransomware financia nueve ataques futuros
- Endpoint
El 10% de las víctimas que aceptan pagar lo hacen rápidamente, y generalmente se ven obligadas a pagar más por compromiso. Las víctimas en algunos sectores y países pagan con más frecuencia que otros, lo que significa que es más probable que sus colegas sean atacados.
Trend Micro ha publicado un nuevo informe advirtiendo que, aunque solo el 10% de las víctimas de ransomware pagan a sus extorsionadores, al hacerlo están fomentando ataques a muchas otras organizaciones. Es importante tener en cuenta que la mayoría de las víctimas no pagan los rescates, y que los pocos que lo hacen, en efecto, cubren el costo de futuros ataques de ransomware a otras nueve víctimas, ya que el monto del rescate pagado cubre el coste de las operaciones en los ataques a aquellos que no pagan.
Los ataques de ransomware a menudo son impulsados financieramente, y los costes operativos de los grupos de ransomware varían según su modelo de negocio. La mayoría de los grupos han dejado atrás los días en que los pagos de ransomware se limitaban a las capacidades financieras disponibles localmente; los modelos de negocio más recientes se han adaptado a la aparición de la criptomoneda. Hoy en día, algunos grupos optan por lanzar ataques basados en el volumen y exigir una cantidad fija de rescate a todas sus víctimas, mientras que otros establecen cantidades de rescate basadas en el perfil específico de sus víctimas, incluido el conocimiento de los ingresos de la víctima.
Esto se ilustra mejor en el caso de LockBit y el histórico Conti, cuyas tasas de pago de rescate son del 16%, probablemente porque estos grupos de ransomware operan con un modelo de negocio altamente específico. Esto es notablemente más alto que los grupos que tienen un modelo más basado en el volumen, como el ransomware DeadBolt, que tiene una tasa de pago que alcanzó un máximo del 8%.
La falta de pago no solo es una opción viable para las víctimas, sino también la norma. Después de todo, los actores de ransomware no se benefician de la mayoría de sus ataques y son muy conscientes de que cuanto más largas sean las negociaciones de rescate, menos probable es que vean un pago. Para ilustrar este punto, un análisis de sobrevivientes de los pagos de rescate por ataques de ransomware DeadBolt mostró que entre las víctimas que pagaron, más del 50% lo hizo dentro de los 20 días, mientras que el 75% pagó dentro de los 40 días.
Para las víctimas cuyos ingresos dependen de sistemas que se han visto afectados por un ataque de ransomware, estos sistemas deben repararse rápidamente, lo que explica la velocidad con la que estas víctimas ceden a las demandas de rescate. Sin embargo, es importante tener en cuenta que pagar el rescate solo aumenta el coste general del incidente para las víctimas: incluso el eventual descifrado de sus datos al momento del pago no deshará la interrupción del negocio y el daño a la reputación de la marca que una organización víctima ya podría haber sufrido por el ataque.
El riesgo de ransomware varía
La distribución del riesgo de ataques de ransomware no es homogénea: hay una multitud de factores decisivos que podrían explicar por qué las organizaciones en algunas líneas de negocio y países son atacadas más que otras. Estos incluyen cualquier intervención gubernamental que pueda obstaculizar el cobro del pago de rescates, los problemas comunicación que puedan surgir entre los atacantes y las víctimas potenciales, así como los vínculos políticos de los atacantes, todo lo cual ayuda a los ciberdelincuentes a determinar dónde atacar.
El análisis de los sitios de filtraciones de Conti y LockBit reveló que las tasas de pago de rescate difieren entre las víctimas. Por ejemplo, entre estos dos grupos de ransomware, Europa tuvo la tasa de pago más baja a nivel regional con un 11,1%, mientras que África tuvo una tasa comparativamente alta con un 34,8%. En términos de tamaño de la organización, las empresas más grandes en general exhibieron tasas de pago más bajas, mientras que las víctimas de ransomware en las industrias financieras y legales tendían a pagar el rescate en comparación con otras industrias. Los atacantes también son conscientes de que ciertas industrias y países que pagan rescates también tienden a pagar con más frecuencia, por lo que las organizaciones que pertenecen a esas industrias y países también tienen más probabilidades de encontrarse en el extremo receptor de ataques de ransomware.
La investigación de los sitios de filtración de 69 grupos de ransomware demostró que, en promedio, los datos de una nueva víctima se filtraron aproximadamente cada cuatro días.
