Si bien toda amenaza de ransomware es peligrosa, existen cuatro tipos que están adquiriendo especial relevancia por su rápida propagación y las graves consecuencias que conllevan. Y es que los estragos que causan estas amenazas en las organizaciones, además de continuo crecimiento del precio para recuperar los datos secuestrados convierte al ransomware en uno de los principales riesgos actuales en ciberseguridad.
La proliferación del ransomware sigue imparable convirtiéndose en uno de los grandes quebraderos de cabeza no solo para organizaciones, sino también para usuarios de todo el mundo.
Solo durante el pasado año, este tipo de ataques crecieron casi un 93%, de acuerdo con los datos de NCC Group. En España, la propagación de este tipo de amenazas sigue al alza tal y como constata el informe ‘State of Ransomware’ de Sophos. Según este estudio, el 44% de las empresas españolas fue víctima el pasado año de al menos un ataque de ransomware, y el coste medio para solucionar un ataque de este tipo ascendió a medio millón de euros.
Estos datos ponen de relevancia la importancia de buscar fórmulas para defenderse de estas amenazas, si bien antes hay que conocerlas bien para saber qué hay que afrontar. De hecho, la firma de ciberseguridad Intel 471 pone de relevancia que hay cuatro cepas de ransomware que representan casi el 70% de todos los ciberataques que se producen a nivel mundial.
Cualquier ransomware es un problema de ciberseguridad, pero algunas cepas tienen más impacto que otras. Una de ellas es LockBit 2.0, que el pasado año representó el 29,7% de todos los incidentes que se produjeron. Accenture o el Ministerio de Justicia de Francia fueron algunas de sus víctimas.
En el caso de Accenture, la compañía detectó rápidamente una anomalía en sus sistemas y notificó la amenaza, aislando rápidamente los servidores afectados. Aun así, los ciberdelincuentes consiguieron robar 6 Terabytes de información de la compañía por la que pedían un rescate de 50 millones de dólares.
Junto a LockBit 2.0, la segunda cepa más frecuente ha sido Conti, que ha sido responsable del 19% de todos los incidentes que se reportaron. De hecho, esta amenaza ha sido una de las más populares tras los ataques cometidos contra el Irish Healthcare Executive.
En el primero, sufrido en mayo del pasado año, se declinó pagar los 20 millones de dólares que el grupo pedía por descifrar los datos robados. Esto llevó a la cancelación de decenas de servicios ambulatorios, se cerró un portal online para la gestión de las vacunas de la COVID-19, y se tardaron semanas en restablecer el sistema TI de atención médica. Se estima que cerca de 85.000 ordenadores se vieron afectados.
Sin embargo, recientemente se ha sabido que los costes asociados con este ataque podrían superar los 50 millones de dólares, en los que se incluyen 14,2 millones destinados a la infraestructura TI; 6,1 millones por la asistencia externa en ciberseguridad que han requerido; 17,1 millones para soporte de proveedores; y 9,4 millones destinados a Office 365.
No obstante, el montante podría llegar a superar los 100 millones de dólares si se implementan todas las recomendaciones de ciberseguridad de un informe detallado de PWC.
El sector industrial y de consumo, el blanco predilecto
Sin duda, LockBit 2.0 y Conti han protagonizado los grandes ataques de ransomware del último año. Pero también hay dos cepas que no se han quedado atrás: PYSA y Hive, que han supuesto uno de cada diez ataques cada uno.
En concreto, desde Intel 471 apuntan que PYSA ha representado el 10,5% de todas las amenazas de este tipo, mientras que Hive lo ha sido del 10,1%. Tras investigar 722 ataques de ransomware, los expertos en ciberseguridad de la compañía destacan que las organizaciones del sector industrial y de consumo han sido las que se han visto más afectadas por estos ataques, especialmente en el último trimestre del pasado año.
Los productos industriales y de consumo se han convertido en un blanco predilecto por los ciberdelincuentes ya que ofrecen servicios en los que las personas confían como parte de su vida cotidiana. Si la red del proveedor está encriptada, los usuarios no pueden acceder a los servicios que necesitan.
Uno de los casos de más alto perfil de este problema ocurrió en 2020 cuando el fabricante de dispositivos portátiles, de actividad física y relojes inteligentes Garmin se vio afectado por el ataque del ransomware WastedLocker. La compañía pagó un rescate de 10 millones de dólares por una clave de descifrado que ayudó a restaurar los servicios.
Junto a estos sectores, la fabricación está siendo otro de los sectores más afectados, representando el 15,9 % de los ataques de ransomware. Su funcionamiento es vital ya que muchas empresas de fabricación trabajan las 24 horas del día, a menudo produciendo bienes vitales necesarios todos los días. Los ciberdelincuentes saben que los ataques a este sector pueden poner en jaque a miles de personas y negocios.
Los servicios profesionales y la consultoría fueron el tercer sector más atacado por el ransomware, con el 15,4 % de los incidentes, seguido por el sector inmobiliario con el 11,4 %. Pero cada vez proliferan más los ataques al sector sanitario, especialmente contra hospitales dada su criticidad y, en consecuencia, predisposición al pago de rescates.
Medidas para combatir el ransomware
Con todo esto queda claro que el ransomware sigue siendo un problema importante de ciberseguridad. A su persistencia contribuye el éxito que siguen teniendo este tipo de ataques, ya que muchas víctimas optan por pagar el rescate a pesar de que se les advierte que no lo hagan ya que eso fomenta la proliferación de más ataques.
No obstante, hay acciones que las empresas pueden realizar para evitar ser víctimas de un ataque de ransomware. Esto incluye la aplicación de parches de seguridad tan pronto como sea posible después de su lanzamiento y así evitar que se exploten vulnerabilidades conocidas.
También es recomendable aplicar la autenticación multifactor en toda la red, ya que dificulta a los ciberdelincuentes acceder a cuentas y explotarlas para sentar las bases para ransomware u otros ataques de malware.
Asimismo, no hay que olvidar tomar medidas que algunas empresas dan por hechas, y no siempre es así. Por lo tanto, actualizar y probar regularmente las copias de seguridad de modo que, en caso de un ataque de ransomware, exista la posibilidad de restaurar la red sin pagar el rescate será clave. A partir de ahí, cuantas más medidas que contribuyan a prevenir y minimizar el impacto de un ataque de este tipo, será mejor. Siempre que sean las adecuadas a las necesidades de cada organización.