El La industria del ransomware aumentó en 2023 ya que vio un alarmante aumento del 55,5% en el número de víctimas en todo el mundo, alcanzando la asombrosa cifra de 5.070. Pero el año 2024 comienza mostrando un panorama muy diferente. Si bien las cifras se dispararon en el cuarto trimestre de 2023 con 1.309 casos, en el primer trimestre de 2024, la industria del ransomware se redujo a 1.048 casos. Se trata de una disminución del 22% en los ataques de ransomware en comparación con el cuarto trimestre de 2023.
Figura 1: Víctimas por trimestre |
Podría haber varias razones para esta importante caída.
Razón 1: La intervención policial
En primer lugar, las fuerzas del orden han subido la apuesta en 2024 con acciones contra LockBit y ALPHV.
Los arrestos de LockBit
En febrero, una operación internacional denominada «Operación Cronos» culminó con el arresto de al menos tres asociados del infame sindicato de ransomware LockBit en Polonia y Ucrania.
Las fuerzas del orden de varios países colaboraron para derribar la infraestructura de LockBit. Esto incluyó apoderarse de sus dominios de la web oscura y obtener acceso a sus sistemas backend. Las autoridades confiscaron cuentas de criptomonedas y obtuvieron claves de descifrado para ayudar a las víctimas a recuperar datos. También utilizaron el propio sitio web de Lockbit para publicar datos internos sobre el propio grupo.
La policía cibernética ucraniana reveló que había detenido a un dúo de «padre e hijo» supuestamente afiliado a LockBit, cuyas actividades supuestamente afectaban a personas, empresas, entidades gubernamentales y establecimientos de atención médica en Francia.
Durante los registros de las residencias de los sospechosos en Ternopil, Ucrania, las fuerzas del orden confiscaron teléfonos móviles y equipos informáticos sospechosos de haber sido utilizados en ataques cibernéticos.
En Polonia, las autoridades arrestaron a un hombre de 38 años en Varsovia, sospechoso de estar asociado con LockBit. Fue llevado ante la fiscalía y acusado de delitos penales.
Sin embargo, LockBit resurgió al cabo de una semana, destacando los desafíos actuales de combatir el cibercrimen.
Emitieron un comunicado sobre Tox.
«El FBI jodió los servidores usando PHP, los servidores de respaldo sin PHP no fueron tocados»
«El FBI jodió los servidores que usaban PHP, los servidores de respaldo sin PHP no se tocan»
Poco después, el grupo continuó su ataque global contra las organizaciones, manteniendo su posición como fuerza dominante en el ámbito de las operaciones de ransomware. Esta resiliencia subraya el formidable poder y las capacidades del grupo, así como las sólidas medidas de seguridad que rodean sus operaciones y que garantizan su viabilidad continua y su futuro potencialmente prometedor, como lo demuestran las tendencias trimestrales de los últimos años.
El impacto de la caída de ALPHV
En un gran golpe a la industria del ransomware, el FBI anunció el 19 de diciembre de 2023 que había interrumpido el Grupo de ransomware ALPHV/BlackCat. Esta eliminación se produjo tras una interrupción de cinco días de la infraestructura de la web oscura del grupo, que comenzó el 8 de diciembre. El FBI tomó el control de uno de los sitios principales de ALPHV y lo reemplazó con su cartel característico. Esta acción, junto con el desarrollo de una herramienta de descifrado para ayudar a las víctimas, representa una victoria significativa para las fuerzas del orden en la lucha contra el ransomware.
En el primer trimestre de 2024, ALPHV estuvo detrás de 51 ataques de ransomware, una caída significativa con respecto a los 109 ataques del cuarto trimestre de 2023. Aunque el grupo todavía está activo en 2024, la eliminación del FBI claramente tuvo un impacto significativo.
Razón 2: la disminución de los pagos de rescate
La disminución de los pagos de rescate también podría estar impulsando a los grupos de ransomware a retirarse y buscar fuentes alternativas de ingresos.
En el último trimestre de 2023, la proporción de víctimas de ransomware que cumplieron con las demandas de rescate se desplomó a un mínimo histórico del 29%, según datos de la firma de negociación de ransomware Coveware.
Coveware atribuye este declive continuo a varios factores, incluida una mayor preparación entre las organizaciones, el escepticismo hacia las garantías de los ciberdelincuentes de no revelar datos robados y restricciones legales en regiones donde los pagos de rescate están prohibidos.
No solo ha habido una disminución en el número de víctimas de ransomware que realizan pagos, sino que también ha habido una disminución notable en el valor monetario de dichos pagos.
Coveware señala que en el cuarto trimestre de 2023, el pago de rescate promedio ascendió a 568 705 dólares, lo que supone una disminución del 33 % con respecto al trimestre anterior, con un pago de rescate medio de 200 000 dólares.
Nuevos grupos están surgiendo PERO aún no cubren la caída
A pesar de la caída en el número de ataques desde el cuarto trimestre de 2023 al primer trimestre de 2024 y a pesar de la menor rentabilidad, en el primer trimestre surgieron muchos nuevos grupos de ransomware. Los nuevos grupos incluyen:
- RansomHub: identificándose como un equipo global de piratas informáticos motivados principalmente por ganancias financieras.
- Trisec, que se aparta abiertamente de los grupos de ransomware convencionales al alinearse abiertamente con un estado-nación.
- Slug, que se atribuye la responsabilidad de infiltrarse y atacar a AerCap
- Mydata: con un sitio de fuga de datos que nombra a varias empresas destacadas, incluido Accolade Group, Gadot Biochemical Industries y más.
Cyberint anticipa que varios de estos grupos más nuevos mejorarán sus capacidades y emergerán como jugadores dominantes en la industria, junto con grupos veteranos como LockBit 3.0, Cl0p y BlackBasta.
Lea el Informe de ransomware 2023 de Cyberint para conocer más grupos emergentes, las principales industrias y países objetivo, un desglose de los 3 principales grupos de ransomware activos en el primer trimestre de 2024, tendencias e incidentes notables en 2024 y más.