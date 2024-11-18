Cualquier buena noticia es bienvenida a la hora de evaluar las tendencias del cibercrimen año tras año. En los últimos dos años, los informes del índice de amenazas de IBM han proporcionado un pequeño respiro en esta área al mostrar una disminución gradual en la prevalencia de los ataques de ransomware, que ahora representan solo el 17 % de todos los incidentes de ciberseguridad en comparación con el 21 % en 2021.
Lamentablemente, es demasiado pronto para saber si esta línea de tendencia continuará. Un informe reciente publicado por Searchlight Cyber muestra que ha habido un aumento del 56 % en los grupos de ransomware activos en la primera mitad de 2024, lo que proporciona pruebas convincentes de que la lucha contra el ransomware está lejos de terminar.
Searchlight Cyber es una empresa de inteligencia de dark web que proporciona herramientas de monitorización y plataformas utilizadas por agencias de seguridad, empresas y MSSP para ayudar a identificar, rastrear y prevenir ciberamenazas en curso.
La compañía publicó recientemente un informe de mitad de año titulado " Ransomware in H1 2024: Trends from the Dark Web" que arrojó algo más de luz sobre el estado actual del ransomware, centrándose específicamente en la actividad de los grupos de ransomware más prolíficos.
En este informe, las estadísticas recopiladas por Searchlight Cyber muestran que, a mediados de 2024, se estaban rastreando 73 grupos de ransomware activos en la dark web, en comparación con 46 grupos el año pasado, lo que representa un aumento del 56 %.
Algunos otros puntos clave del informe incluyen:
Luke Donovan, director de inteligencia de amenazas de Searchlight Cyber, fue entrevistado recientemente para obtener una perspectiva adicional sobre los hallazgos de este informe. Al comentar sobre los informes de métricas de Searchlight Cyber, Donovan aclara:
"Nuestras cifras de víctimas de ransomware están determinadas en gran medida por las organizaciones que los grupos de ransomware enumeran en sus sitios de filtraciones de la dark web... Existen algunas limitaciones con estas cifras, ya que los grupos de ransomware pueden haber atacado a muchas otras organizaciones pero decidieron no enumerar a la víctima públicamente.
"Por otro lado, siempre existe la posibilidad de que los grupos de ransomware estén listando organizaciones a las que en realidad no han atacado para mejorar su reputación. Sin embargo, estas cifras ofrecen, en términos generales, una buena indicación de los grupos de ransomware más activos que operan en el dark web”.
Los modelos RaaS llevan varios años en uso. Sin embargo, a medida que surjan más grupos de ransomware y las soluciones RaaS estén más disponibles, se espera que los peligros asociados crezcan.
Cuando se le preguntó por qué el modelo RaaS ha tenido tanto éxito en los últimos años, Donovan comentó: "El éxito del modelo RaaS reside realmente en su capacidad de escalar. Si el operador del ransomware es también la misma persona que realiza los ataques, existe un límite natural en el número de víctimas que pueden reclamar en un momento dado. Externalizar el ataque a varios 'afiliados', de los cuales, algunas de las bandas más grandes tienen decenas, permite a las bandas de ransomware aumentar enormemente la cantidad de organizaciones que pueden pedir rescate."
A primera vista, puede parecer que algunos operadores RaaS buscan un cierto nivel de aislamiento de las ramificaciones legales al pasar la responsabilidad a los afiliados responsables de llevar a cabo los ataques. Sin embargo, muchos países cuentan con leyes que responsabilizan tanto a los operadores de RaaS como a sus afiliados de la organización y ejecución de ciberataques.
"La popularidad del modelo RaaS tiene más que ver con la rentabilidad que con el cambio de responsabilidad legal. En todo caso, ejecutar una operación RaaS aumenta el riesgo para los creadores de ransomware, ya que estas bandas suelen tener más víctimas, lo que las convierte en un objetivo más importante para las fuerzas del orden", afirma Donovan.
Teniendo en cuenta las implicaciones de proporcionar kits de herramientas RaaS a afiliados sin formación o indisciplinados, el uso continuado de este modelo es sorprendente, ya que puede generar atención no deseada para las propias bandas. Esto se hizo evidente en la reciente interrupción de las operaciones de LockBit por parte de la Agencia Nacional contra el Crimen (NCA) en febrero de 2024.
Aun así, las ganancias financieras derivadas de la expansión de las actividades delictivas a escala masiva son riesgos que muchos grupos de ransomware ya han demostrado que están dispuestos a asumir.
Como se ha mencionado recientemente, ya ha habido informes anteriores de que el número de víctimas de ransomware ha disminuido en los últimos años. Entonces, ¿deberían preocuparse las empresas por el auge de los grupos de ransomware? Sí y no.
Las recientes perturbaciones en las grandes bandas de RaaS, como LockBit y BlackCat, han contribuido sin duda a la reciente disminución de los ataques de ransomware. Otro factor potencial puede atribuirse a la escasez general de habilidades en campos relacionados con el cibercrimen, que afectan tanto a los ciberseguridad como a los grupos de cibercrimen. Sin embargo, esto no significa que no se vislumbre un resurgimiento de los ataques de ransomware.
"Lo que observamos ahora mismo es un ecosistema de ransomware más fragmentado... Cuando se desarticulan los grandes grupos RaaS, solemos ver cómo surgen una serie de grupos más pequeños que los imitan", afirma Donovan.
Como destaca el informe de Searchlight Cyber, muchos nuevos grupos de ransomware están utilizando métodos de ataque altamente sofisticados y están cada vez más motivados para poseer una Compartir del mercado RaaS. Es una combinación peligrosa, lo que significa que las empresas deben mantenerse atentas mientras evalúan continuamente sus estrategias defensivas para minimizar su exposición al ransomware.