Hace unos días nos hacíamos eco en Escudo Digital de un dato aportado por la firma de negociación de ransomware Coveware. Esta señalaba que en 2023 únicamente el 29% de las empresas afectadas por un ataque de este tipo acordaron el pago de un rescate. Este porcentaje habría caído notablemente desde el 85% que se manejaba allá por 2019.
Coveware atribuía el descenso a varios factores, como que las redes empresariales han desarrollado mejores ciberdefensas y hacen más copias de seguridad de sus datos o que cada vez menos organizaciones confían en que los actores de amenazas cumplan sus promesas y eliminen los datos sustraídos.
A tenor de esta cifra podría pensarse que los grupos de ransomware están recaudando menos dinero con sus ataques, pero otro informe, en este caso de la firma de blockchain Chainalysis, apunta hacia otra dirección distinta.
El citado estudio estima que los pagos realizados por las víctimas de incidentes se duplicaron en 2023 en relación al año anterior, superando los 1.000 millones de dólares.
Chainalysis, además, deja claro que se trata de estimaciones "conservadoras" y pueden aumentar a medida que se identifican con nuevas direcciones de billeteras de criptomonedas.
Así, cuando la firma publicó su informe de 2022 únicamente identificó 457 millones de dólares en pagos de rescate, pero desde entonces esa cifra ha aumentado en 100 millones de dólares. En cuanto a la cifra para 2021, esta aumentó de 766 millones de dólares a 983 millones el pasado año.
Además, según recuerda Security Week, estas cifras solo representan los pagos de rescate reales, no otros daños sufridos por las empresas afectadas por el ransomware.
Un año 'raro'
El caso es que en su informe de 2022 Chainanalysis destacó que estos pagos habían caído significativamente, pero ahora dice que se trató solo de una anomalía y no de una tendencia y que 2023 marcó un récord.
El ransomware como servicio o ransomware as a service ha hecho que sea cada vez más sencillo perpetrar estos ataques sin necesidad de conocimientos técnicos. Además, los intermediarios de acceso inicial (IAB) también han facilitado a los ciberdelincuentes la realización de ataques de robo de datos y cifrado de archivos.
"Encontramos una correlación entre las entradas a las billeteras de IAB y un incremento en los pagos de ransomware, lo que sugiere que monitorizar los IAB podría proporcionar señales de alerta temprana y permitir una posible intervención y mitigación de ataques", destaca Chainalysis.
La firma también ha hallado que para blanquear estos pagos muchos grupos suelen optar por exchanges centralizados y mixers.
