Chainalysis reveló un informe de los pagos de ransomware en 2023

0
806

Este miércoles, Chainalysis la empresa estadounidense de análisis de blockchain con sede en la ciudad de Nueva York, publicó su Informe sobre delitos criptográficos de 2024, donde reveló que en 2023, los pagos en criptomonedas por ciberataques de ransomware casi se duplicaron hasta alcanzar un récord de 1.000 millones de dólares.

De acuerdo al informe, los actores detrás de estos ciberataques, intensificaron sus operaciones el año pasado, apuntando contra instituciones de alto perfil e infraestructura crítica, incluidos hospitales, escuelas y agencias gubernamentales.

Chainalysis dice en su informe, que “se llevaron a cabo importantes ataques de ransomware a la cadena de suministro aprovechando el omnipresente software de transferencia de archivos MOVEit, lo que afectó a empresas que van desde la BBC hasta British Airways”.

La empresa de análisis blockchain aclara, que como resultado de estos ciberataques junto a otros tipos de ataques informáticos, las bandas dedicadas a la industria del ransomware, lograron alcanzar “un hito sin precedentes, superando los mil millones de dólares en pagos extorsionados en criptomonedas a las víctimas”, lo que es la cifra más alta jamás observada en este tipo de ciberdelito.

Chainalysis dice en su informe, que el año 2023 estableció un importante regreso de los ataques de ransomware, “con pagos récord y un aumento sustancial en el alcance y la complejidad de los ataques”, lo cual representó una reversión significativa de la disminución observada en 2022.

La empresa neoyorkina, señala que aunque “en 2022 se produjo una disminución en el volumen de pagos de ransomware, la línea de tendencia general de 2019 a 2023 indica que el ransomware es un problema en aumento”.

Tan sólo en 2022, los pagos por rescates derivados de este ciberdelito se estimaron en 457 millones de dólares, pero desde entonces esta cifra se ha revisado al alza en un 24,1%.

Adicionalmente, estos 1 mil millones de dólares no incluyen el impacto económico de la pérdida de productividad, como pérdidas de reservas, de órdenes de ventas, etc., junto a los costos de reparación asociados con estos ciberataques que en ocasiones requieren sustitución y formateo de equipos lo que indudablemente, incrementan esta cifra.

Como ejemplo de ello, Chainalysis recordó el caso del ciberataque “de ALPHV-BlackCat y Scattered Spider a los complejos turísticos de MGM”. En los cuales, aunque MGM no pagó el rescate, se estima que los daños le costaron a la empresa más de 100 millones de dólares.

De acuerdo con esta empresa de análisis blockchain, los ciberataques de ransomware es uno de los ciberataques que más han proliferado en el último año, pero que además, se encuentra en expansión continuamente, lo que crea aumenta el reto de monitorear cada incidente o rastrear todos los pagos de rescate realizados en criptomonedas.

A pesar que Chainalysis calculó en más de 1 mil millones de dólares en pagos por este tipo de ciberataques, reconoce también que sus cifras “son estimaciones conservadoras y que probablemente aumentarán a medida que se descubran nuevas direcciones de ransomware con el tiempo” lo cual añade complejidad a este tipo de ciberdelitos y presenta un oscuro panorama para este año.

La empresa de análisis blockchain, estimó que probablemente la disminución de los ciberataques de ransomware en 2022, lo hicieron por una serie de factores, entre los que se destacan eventos geopolíticos como el conflicto ruso-ucraniano.

Según el informe, este conflicto “no sólo interrumpió las operaciones de algunos actores cibernéticos, sino que también cambió su enfoque de las ganancias financieras a ciberataques con motivación política destinados al espionaje y la destrucción”, lo que añadió una capa extra de dificultad a este ciberdelito.

Además, otro factor que contribuyó en la caída de este ciberdelito, estaba la negativa de algunas entidades occidentales a pagar rescates por ciertas cepas debido a posibles riesgos de sanciones, ya que algunos de sus actores estaban relacionados con entidades rusas sancionadas por la guerra.

En ese sentido, el grupo Conti, en particular, tuvo problemas, por los vínculos con agencias de inteligencia rusas sancionadas, la exposición de los registros de chat de la organización y el desorden interno general, provocando una disminución de sus actividades, lo que también contribuyó a la reducción general de los incidentes de ransomware en 2022.

Conti es un grupo de hackers de ransomware con sede en Rusia que ha estado en la escena de la ciberdelincuencia desde 2020, a los cuales se les atribuyen varios ciberataques de este tipo, utilizando el ransomware como servicio (RaaS, «por sus siglas en inglés»), lo que permite a otros ciberdelincuentes implementar este malware para sus propios fines.

No obstante, según Chainalysis, hasta ahora “los investigadores han observado que muchos actores de ransomware vinculados a Conti han seguido migrando o lanzando nuevas cepas, lo que hace que las víctimas estén más dispuestas a pagar”, aumentando la cadencia de sus ciberataques.

Por otro lado, la empresa de análisis blockchain, señala en su informe que “otro factor importante en la reducción del ransomware en 2022 fue la infiltración exitosa de la cepa de ransomware Hive por parte de la Oficina Federal de Investigaciones (FBI), como anunció el Departamento de Justicia a principios de 2023”.

Chainalysis señala que durante la infiltración de Hive, el FBI pudo proporcionar claves de descifrado a más de 1300 víctimas, evitando efectivamente la necesidad de pagos de rescate, con lo cual se mitigó el impacto de sus ciberataques y evitando 130 millones de dólares aproximadamente en pagos de rescate a Hive.

No obstante, tras la actualización de los datos de pagos de rescates de 2022, el monto pasó de 457 millones de dólares a 567 millones de dólares, a pesar que la infiltración del FBI a Hive evitó que los pagos por rescate, fuesen sustancialmente mayores. Y es que, durante los seis meses que el FBI se infiltró en Hive, los pagos totales de ransomware en todas las cepas alcanzaron los 290,35 millones de dólares.

De allí que, Chainalysis señala que sus modelos estadísticos calculan un total de 500,7 millones de dólares durante ese período de 2022, según el comportamiento de los atacantes en los meses anteriores y posteriores a la infiltración, siendo esta una estimación conservadora.

En los datos actualizados de 2023, el informe señala que el panorama del ransomware experimentó una importante escalada en la frecuencia, el alcance y el volumen de los ataques, a pesar que en su informe del año pasado, habían proyectado a la baja los ciberdelitos relacionados con criptomonedas.

Estos ciberataques fueron ejecutados por una variedad de actores, que van desde grandes sindicatos hasta grupos e individuos más pequeños, y los expertos dicen que su número está aumentando.

Este aumento, sugiere que un número cada vez mayor “de nuevos actores”, se sienten atraídos “por el potencial de obtener altas ganancias y menores barreras de entrada”. Es por ello, que algunas cepas, como Cl0p, “ejemplifican la estrategia de “caza mayor, llevando a cabo menos ataques que muchas otras cepas, pero cobrando grandes pagos con cada ataque”.

En cuanto a otras cepas como Phobos y ALPHV-BlackCat, ambos han adoptado el modelo Ransomware como servicio (RaaS), en el que personas externas conocidas como “afiliados” pueden acceder al malware para llevar a cabo ataques y, a cambio, pagar a los operadores principales de la cepa una parte de las ganancias del rescate.

Aunque los investigadores sostienen que ALPHV-BlackCat es más selectivo en cuanto a los afiliados a los que permite usar su malware, reclutando y entrevistando activamente a candidatos potenciales por sus capacidades de piratería.

También otros actores detrás de cepas como Trickbot conocido como Stern, el ransomware Royal y su iteración más reciente conocida como 3 am, poseen una relación más cercana compartiendo flujos de rescates como lo demostró Chainalysis.

Las estrategias de ataque de estos actores, se ven impulsada por el aumento de los corredores de acceso inicial (IAB, «por sus siglas en inglés») lo que facilita en gran medida que los delincuentes lleven a cabo ataques de ransomware. Estos IAB, se encargan “de penetrar en las redes de víctimas potenciales y luego venden ese acceso a atacantes de ransomware por tan solo unos pocos cientos de dólares”.

Además, detrás de esta industria del ransomware, existe na concentración significativa en los servicios financieros específicos dentro de cada categoría a los que recurren los actores del ransomware para blanquear los fondos obtenidos con los ciberataques.

Entre los servicios que hay para blanquear fondos, hay criptointercambios, servicios de juegos de azar, puentes entre cadenas, entidades sancionadas, mezcladores, intercambios sin KYC y los criptointercambios clandestinos, los cuales sirven a los intereses de estos grupos.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"