Los fondos recaudados por ataques de ransomware cayeron a 456,8 millones de dólares en 2022 desde un máximo de 765,6 millones de dólares en 2021, según un nuevo informe de la firma de análisis Chainalysis.
Los ataques de ransomware relacionados con criptomonedas han experimentado una fuerte caída en la tasa de éxito en los últimos 12 meses.
C
Actividad del ransomware criptográfico
El siguiente gráfico muestra el aumento y la caída de los fondos adquiridos a través de ataques de ransomware en los últimos 6 años. En 2020 se observó un aumento espectacular, ya que los fondos robados alcanzaron los 765 millones de dólares, y en 2021 se registraron cantidades similares robadas por los malos actores
Fuente: Chainalysis
Aunque el informe de Chainalysis reconocía que «los verdaderos totales son mucho mayores», ya que es probable que haya direcciones propiedad de atacantes de ransomware que aún no han sido identificadas, la caída indica que las víctimas se están volviendo prudentes ante este tipo de ataques. Como resultado, Chainalysis hizo una declaración apoyando este sentimiento.
«[La caída de los pagos por ransomware] no significa que los ataques hayan disminuido… Creemos que gran parte del descenso se debe a que las organizaciones víctimas se niegan cada vez más a pagar a los atacantes de ransomware. «
Explosión del ransomware
Aunque los pagos para eliminar ransomware han caído drásticamente, el número de cepas de ransomware explotó en 2022. Una cepa es un tipo de ransomware con variantes comunes: Royal, Ragnar, Quantum, Play, Hive y Lockbit.
Fortinet, una empresa líder en hardware y software de ciberseguridad, informó de más de 10.000 cepas únicas activas a lo largo de 2022.
Las cepas tienen una vida útil decreciente, ya que los malos actores siguen variando los vectores de ataque para optimizar el volumen de fondos robados. Por ejemplo, en 2012, las cepas duraron 3.907 días, mientras que en 2022, la duración media fue de sólo 70 días. Como resultado, las soluciones de ciberseguridad deben seguir el ritmo de un número creciente de cepas activas en su estrategia de defensa.
Fondos para el ransomware
Los fondos obtenidos mediante ataques de ransomware se blanquean a través de varias vías. La mayoría de los fondos se siguen enviando a bolsas centralizadas populares. Sin embargo, los intercambios P2P, una solución popular para los atacantes de ransomware en 2018, ahora representan un pequeño porcentaje del volumen total.
Después de los intercambios centralizados, un método persistente de blanqueo de fondos es el uso de mercados de la darknet designados como «ilícitos» en el gráfico Chainalysis a continuación. Por último, los servicios de mezcla constituyen la siguiente porción más significativa, permitiendo a los atacantes «lavar» criptomonedas con poco recurso por parte de las autoridades mundiales.
Fuente: Chainalysis
Forense de datos en cadena
Chainalysis utilizó datos en cadena para identificar mercados «afiliados» de ransomware por los que terceros reciben una «pequeña parte fija de los beneficios» en un modelo de ransomware como servicio
Podemos considerarlo como la economía del trabajo, pero para el ransomware. Un conductor de coche compartido puede tener sus aplicaciones Uber, Lyft y Oja abiertas a la vez, creando la ilusión de tres conductores distintos en la carretera, pero en realidad es el mismo coche».
Los datos de la cadena han permitido a empresas como Chainalysis rastrear a los malos actores a través de la cadena de bloques y posiblemente identificar el próximo vector de ataque. Por ejemplo, Conti, una cepa prevalente de ransomware, se disolvió en mayo de 2022. Sin embargo, los datos de la cadena han revelado que los monederos conectados a Conti están pasando ahora a otras cepas como Royal, Quantum y Ragnar.
Los atacantes de ransomware «reutilizaron carteras para múltiples ataques lanzados nominalmente bajo otras cepas», lo que hace que la actividad de rastreo sea relativamente elemental.
Declive en los pagos por ransomware
El número de ataques exitosos de ransomware disminuyó debido a la mayor comprensión del panorama, la mejora de las medidas de seguridad y las mejores capacidades forenses en la cadena. Como resultado, las víctimas se niegan a pagar a los atacantes, ya que muchos están vinculados a partes sancionadas por la OFAC.
En 2019, solo el 24% de las víctimas se negaron a pagar, mientras que, en 2022, el porcentaje aumentó al 59%. Pagar una recompensa de ransomware a una parte en la lista de sanciones de la OFAC ahora podría ser «legalmente más arriesgado.» Allan Lisk, analista de inteligencia de Recorded Future, dijo a Chainalysis;
«Con la amenaza de sanciones en ciernes, se añade la amenaza de consecuencias legales por pagar [a los atacantes de ransomware]»
Las consecuencias de no pagar las exigencias del ransomware pueden a menudo devastar a las víctimas, que a menudo pierden el acceso a datos esenciales. Sin embargo, a medida que la industria ilícita se hace menos viable económicamente, la esperanza es que el número de ataques también disminuya, reduciendo así el número de víctimas.
En cualquier caso, el papel de la criptomoneda en los ataques de ransomware está claro. Es un método para robar cientos de millones de dólares en criptomoneda cada año. Sin embargo, eso no quiere decir que no se pierdan más activos financieros tradicionales, muchos de los cuales no son rastreables a través de una blockchain.
