Más allá de la hipérbole: Una mirada realista al pago económico del ransomware
Los debates sobre ciberseguridad suelen desarrollarse en medio de narrativas grandilocuentes y alarmantes: 'alto impacto', 'crítico', 'vulnerabilidad más peligrosafrases diseñadas para acaparar titulares. La conversación flota a un nivel elevado, advirtiendo a las organizaciones de un entorno empresarial complejo y arriesgado en el que, en un instante, podrían quedar paralizadas y sufrir importantes pérdidas económicas debido a una brecha.
Sin embargo, aunque estas advertencias se basan en la verdad, la hipérbole que las rodea a menudo induce a la fatiga. Siempre se presenta como "el fin del mundo" o "lo peor de la historia", pero sin proporcionar el contexto necesario o una medida realista del impacto real.
Así que, hoy, vamos a profundizar en un aviso actualizado de CISA/FBIcentrado en un nombre familiar en el panorama de las amenazas: el ransomware Royal (ahora BlackSuit) y los incentivos financieros que impulsan sus actividades.
Históricamente, hemos discutido cómo este grupo opera y algunas actividades que se le atribuyen. Prosperan en el ámbito del ransomware, engañando a empleados de diversas organizaciones para que hagan clic en enlaces a recursos controlados por los atacantes (correos electrónicos de phishing), desplegando posteriormente cargas útiles en los sistemas internos de la organización.
Aquí es donde su enfoque diverge de la norma. El ransomware estándar cifra los sistemas y exige un bitcoin o equivalente como rescate -unos pocos miles de dólares de molestias, como mucho, para una gran empresa-. Esta cantidad de rescate tan contenida suele llevar a las organizaciones a considerar, y lamentablemente a veces a pagar, resolver la situación rápidamente y con menos complicaciones.
Sin embargo, el Royal Ransomware opera a mayor escala. Según el aviso de CISA/FBI, desde septiembre de 2022, han exigido más de 275 millones de dólares en rescates de varias organizaciones - un marcado contraste con un modesto bitcoin. Por supuesto, no se han pagado todos esos rescates, pero incluso un porcentaje mínimo de pagos supone un beneficio considerable para una actividad tan ilegítima.
Curiosamente, se han mantenido alejados del modelo de ransomware como servicio, una evolución común para los grupos de amenazas experimentados que pretenden convertirse más en proveedores de servicios que en explotadores directos. Nuestro análisis anterior sugería un cambio potencial hacia el ransomware (o hacking) como servicio, pero las observaciones recientes lo contradicen. Royal ha seguido operando de forma independiente, sin ofrecer sus servicios o infraestructura a grupos de terceros. Aunque no se dirigen a ningún sector específico en detrimento de otros, sus hackeos de gran repercusión, como el reciente incidente del circuito de incidente del circuito de Silverstoneindican una estrategia dirigida a entidades notables y empresas de gran valor para aumentar la probabilidad de que se pague el rescate. Su portal de Internet oscuro, en el que se enumeran las víctimas actuales, suele incluir grandes empresas de distintos sectores.
Nuestra especulación anterior de que Royal y BlackSuit podrían ser un solo grupo refinando sus herramientas queda ahora confirmada por el aviso de CISA/FBI. Han ampliado sus objetivos de los sistemas Windows al espacio más lucrativo de los servidores Linux, en línea con la evolución de sus operaciones.
Será interesante observar cómo se adaptan estos grupos a las nuevas normativas, como las normas de información obligatoria de la SEC que entran en vigor el mes pasado. normas de información obligatoria de la SEC que entran en vigor este mes. Queda por ver si la divulgación obligatoria de los hackeos reducirá los pagos de rescates, afectando así a su modelo de negocio, o si sus actividades persistirán sin cesar.
Estos hechos subrayan la importancia del elemento humano en la ciberseguridad, a menudo un eslabón más vulnerable que los aspectos técnicos. Hacer hincapié en las graves repercusiones financieras de las actividades delictivas durante la formación de los empleados podría reforzar la importancia de la ciberseguridad. Esto, unido a las prácticas básicas de gestión oportuna de parches, proporciona al menos un factor inicial de disuasión contra tales grupos.
Teniendo en cuenta que sus peticiones de rescate para un año superan con creces los beneficios operativos de la mayoría de las empresas para un periodo similar, los incentivos -y los riesgos- de tales actividades quedan claros, lo que subraya por qué la ciberseguridad debe seguir siendo una prioridad. Con los actores de las amenazas buscando tan altos beneficios, las organizaciones nunca pueden permitirse el lujo de ser complacientes con sus medidas de seguridad.
En este ámbito, como en muchos otros, todo se reduce al dinero.