Los ciberdelincuentes están logrando un mayor éxito con sus ataques de ransomware. En 2022 consiguieron cifrar los datos en tres cuartas partes (76%) de sus ofensivas contra empresas, el nivel de cifrado más alto de los últimos cuatro años. Además, en el 30% de los casos en los que los atacantes cifraron los datos, también los robaron, lo que refleja que el método de "doble inmersión" (cifrado y extracción de datos) es cada vez más habitual.
Estas son algunas de las principales conclusiones del informe anual "El Estado del Ransomware 2023", elaborado por Sophos desde el año 2020 a partir de una encuesta independiente realizada a 3.000 responsables de ciberseguridad /TI de compañías que cuentan con entre 100 y 5.000 empleados y que están repartidas por 14 países de América, EMEA y Asia-Pacífico.
"Las tasas de cifrado de datos en ataques de ransomware han vuelto a niveles muy altos tras sufrir un bajón temporal durante los meses de pandemia, lo que resulta bastante preocupante. Los grupos de ransomware han estado refinando sus métodos y acelerando sus ataques para reducir el tiempo con el que cuentan los equipos de seguridad para interrumpirlos", advierte Chester Wisniewski, CTO de Sophos.
A nivel global, el 66% de las compañías encuestadas declaró haber sido víctima de un ransomware en 2022. Este porcentaje coincide con el del año anterior, lo que sugiere que la tasa de estos ataques se ha mantenido estable.
Pagar el rescate duplica los costes de recuperación y también ralentiza la respuesta al ataque
Por otra parte, el estudio vuelve a poner de relieve que no es conveniente ceder a la extorsión de los atacantes pagando el rescate que exigen a cambio de la recuperación de los datos. Esto es una máxima entre los expertos de ciberseguridad, ya que no garantiza la liberación de los datos y lleva a sufrir más ataques.
Además, Sophos ha concluido que cuando las empresas pagan el rescate de los ataques de ransomware, los costes totales de recuperación terminan duplicándose, alcanzando los 750.000 dólares frente a los 375.000$ que cuestan a las empresas que utilizaron copias de seguridad para recuperar sus datos. Y no solo eso sino que pagar el rescate suele implicar también tiempos de recuperación más largos. El 45% de las empresas que utilizaron copias de seguridad se sobrepusieron en una semana, frente al 39% de las que accedieron a pagar el rescate.
"El coste de los ataques aumenta considerablemente cuando se pagan rescates. La mayoría de las víctimas no podrán recuperar todos sus archivos simplemente pagando por las claves de cifrado, también se verán obligados a reconstruir y recuperar sus datos a partir de copias de seguridad. Pagar rescates no sólo enriquece a los ciberdelincuentes, sino que ralentiza la respuesta al incidente y añade costes a una situación ya de por sí terriblemente cara", explica Chester Wisniewski.
¿Qué sector es el más atacado? ¿Cuáles son las principales causas del ransomware? ¿Y qué empresas son más propensas a pagar?
Entre las conclusiones de la última entrega del informe "El Estado del Ransomware 2023" también destacan las que responden a estas preguntas. En cuanto a la primera, indica que el sector de la educación fue el que registró la mayor proporción de ataques de ransomware, con el 79% de las instituciones de educación superior encuestadas y el 80% de las de educación básica habiéndose visto afectadas por uno.
Respecto a la segunda cuestión, afirma que la causa más común de los ataques de ransomware analizados fue una vulnerabilidad explotada (implicada en el 36% de los casos), seguida de credenciales comprometidas (identificada en el 29% de los casos), resultados que coinciden con las del reciente informe de Sophos "Active Adversary Report 2023".
Finalmente, en respuesta a la tercera pregunta apunta que el 46% de las empresas encuestadas en las que los delincuentes cifraron los datos les pagaron el rescate, aunque las compañías más grandes son las más propensas a pagar. De hecho, subraya que más de la mitad de las empresas con ingresos de 500 millones de dólares o superiores pagaron el rescate, con el promedio más alto entre las empresas que tienen ingresos de más de 5.000 millones de dólares al año. Según Sophos, esto puede deberse, en parte, al hecho de que las empresas más grandes tienen más probabilidades de tener un ciberseguro independiente que cubra el pago de rescates.
"Con dos tercios de las empresas informando de que han sido víctimas de los criminales del ransomware por segundo año consecutivo, es probable que hayamos llegado a un punto muerto. La clave para reducir esta cifra es trabajar para reducir drásticamente tanto el tiempo de detección como el tiempo de respuesta. La caza de amenazas dirigida por equipos humanos es muy eficaz para detener a estos ciberdelincuentes en su avance, pero las alertas deben investigarse y los atacantes deben ser desalojados de las redes empresariales en horas y días, no en semanas y meses. Los analistas experimentados pueden reconocer los patrones de una intrusión activa en cuestión de minutos y pasar a la acción. Esta es probablemente la diferencia entre el tercio que se mantiene a salvo y los dos tercios que no. Hoy en día, las empresas deben estar alerta 24/7 para levantar una defensa eficaz", señala Wisniewski.
El ransomware, el ataque más denunciado. Pero ni mucho menos el único
Los resultados del informe "El Estado del Ransomware 2023" también revelan que, de forma general, el 94% de las empresas sufrieron algún tipo de ciberataque el año pasado y que, aunque el ransomware fue el ataque más denunciado, las organizaciones experimentaron muchas otras amenazas.
Para analizar el panorama de ciberamenazas al que tienen que hacer frente las empresas y analizar cómo deben protegerse ante ellas, Sophos va a volver a poner en marcha su CaaS Tour, que visitará Málaga el próximo 18 de mayo y Zaragoza el 24 de mayo y donde presentará las principales conclusiones de este estudio.
Cómo mejorar las ciberdefensas para hacer frente a los ciberdelincuentes
Desde la compañía de ciberseguridad también han recomendado a las empresas aplicar las siguientes buenas prácticas para ayudarlas a defenderse contra el ransomware y los ciberataques relacionados:
- Reforzar aún más la protección con: herramientas de seguridad que protejan contra los vectores de ataque más comunes, incluyendo la protección de endpoints con fuertes capacidades anti-exploit y un enfoque de acceso a la red Zero Trust (ZTNA); tecnologías adaptativas que responden automáticamente a los ataques, interrumpiendo a los adversarios y dando tiempo a los defensores para responder; detección, investigación y respuesta a las amenazas 24/7, ya sea con un equipo interno o en colaboración con un proveedor especializado en Managed Detection and Response (MDR).
- Optimizar la preparación frente a un posible ataque, lo que implica realizar copias de seguridad periódicas, practicar la recuperación de datos desde copias de seguridad y mantener actualizado el plan de respuesta ante incidentes.
- Mantener una buena higiene de seguridad, incluyendo la aplicación oportuna de parches y la revisión periódica de las configuraciones de las herramientas de seguridad.