La firma de inteligencia de amenazas Corvus ha publicado un estudio para tomar la medida al fenómeno del ransomware en el segundo cuarto del año y comprobar su evolución.
La conclusión principal es que la frecuencia global del ransomware sigue una tendencia ascendente desde finales del año pasado. Corvus ha podido constatar un aumento intertrimestral del 29 % en el segundo trimestre y un incremento interanual del 72 % en los sitios de fuga.
En abril, mayo y junio se contabilizó un crecimiento adicional de 1149 víctimas en sitios de fuga de ransomware.
En relación a este Q2 Corvus ha podido observar dos factores clave que habrían resultado decisivos para este aumento y contribuido a las elevadas cifras en la primera mitad del año.
El primero de ellos fue la injerencia del grupo de ransomware Clop, que siguió exprimiendo la brecha de seguridad del software de transferencia de archivos MOVEit. En el segundo trimestre este asunto dejó un número creciente de víctimas, que ascendería ya a 259.
Estas vulnerabilidades representaron el 12 % del total de víctimas de ransomware en el primer trimestre (GoAnywhere) y el 9 % del total del segundo trimestre (MOVEit).
Sin embargo, sin los picos de actividad de ataques de Clop las cifras de ransomware siguen al alza. Sin contar sus repercusiones estas extorsiones se habrían elevado un 35% desde el primer trimestre y un 50% desde el último cuarto de 2022.
Alejándose de su modus operandi habitual de robar datos y cifrar archivos, la pandilla optó únicamente por robar archivos en estos ataques. Esto hizo que los ataques fueran más ágiles, sigilosos y escalables. Además, al explotar proactivamente las vulnerabilidades en lugar de esperar a que se hicieran públicas, los ciberdelincuentes de Clop obtuvieron rápidamente un monopolio sobre el grupo de víctimas.
Otro aspecto que destaca Corvus en su informe es que hay grupos de ransomware más activos. En el Q1 la firma contabilizó 35 grupos operando sitios de fugas. Esto se elevó un 25% hasta el segundo trimestre del año, cuando la autora del estudio llegó a contabilizar 44 sitios activos de fugas de ransomware.
A medida que conocidas pandillas se fracturaron sus cifrados patentados se filtraron en la dark web. Esto habría permitido qe varios actores de amenazas nuevos implementaran libremente este malware y lo usaran para perpetrar sus propias operaciones de ransomware. Además, de forma similar, se ha observado cómo operadores de grupos desaparecidos se trasladan a otros o inician los suyos propios.
El estudio también evidencia que la gravedad del ransomware está aumentando. En el segundo trimestre de este 2023 la cifra de rescate media que piden los cibermalos se ha elevado a 2,51 millones de dólares. En el primer trimestre la cantidad promedio era de 1,93 millones y en el cuarto trimestre de 2022 de solo 863.000 dólares.
Por su parte el promedio de pagos de rescate efectuados ha subido de 427.000 a 580.000 y a 608.000 dólares en los tres períodos mencionados.
Sectores más afectados
En los últimos seis meses este impulso de los ataques de ransomware ha impactado especialmente en algunos sectores. Es el caso de la industria, con grupos particulares apuntan a ella. AlphVM es un ejemplo de ataque deliberado: el grupo representó el 10,44% de todas las víctimas en la industria legal entre 2021 y 2022.
También se sabe que Vice Society y PYSA atacan la educación superior: los grupos reclaman el 16,30% y el 15,22% de los ataques a la educación superior respectivamente (antes de 2023).
De seguir así 2023 puede ser un año récord, también en frecuencia de estos ataques. En el pasado, el número mensual de víctimas de sitios de filtración de ransomware solo superó las 300 por mes en tres ocasiones en 2021. En lo que va de año, las víctimas mensuales de ransomware publicadas en sitios de filtración superaron las 300 durante los últimos cinco (que pronto serán seis) meses.