El rescate pagado se está convirtiendo en un elemento cada vez más pequeño del costo total de un ataque de ransomware a una organización u organismo víctima, y este último supera siete veces al anterior, según los datos analizados por los analistas de Check Point Research.
El equipo de Check Point analizó los datos en poder del especialista en cuantificación cibernética Kovrr en su base de datos de incidentes y el contenido de las filtraciones recientes de Conti, y concluyó que el rescate pagado, si es que se realiza un pago, es eclipsado por costos como respuesta a incidentes, gestión de reputación. servicios, restauración de sistemas y datos, honorarios legales y nueva tecnología de seguridad.
También encontró que las pandillas de ransomware tienden a exigir una suma congruente con los ingresos anuales de la víctima, en un rango generalmente establecido entre 0,7% y 5%. Como regla general, cuanto menor sea el porcentaje de demanda, mayores serán los ingresos de la víctima, ya que aún representan un valor monetario más alto.
“Digno de mención es el hecho de que para las víctimas, el ‘costo colateral’ del ransomware es siete veces mayor que el rescate que pagan. Nuestro mensaje para el público es que construir de antemano defensas cibernéticas adecuadas, especialmente un plan de respuesta bien definido a los ataques de ransomware, puede ahorrar mucho dinero a las organizaciones”, dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point.
“El aprendizaje clave es que el rescate pagado, que es el número al que se enfrentan la mayoría de las investigaciones, no es un número clave en el ecosistema de ransomware. Tanto los ciberdelincuentes como las víctimas tienen muchos otros aspectos financieros y consideraciones en torno al ataque”.
Esto fue confirmado por algunos de los otros hallazgos de la investigación, que revelaron que las pandillas de ransomware tienen reglas básicas claras para una negociación “exitosa”.
En el caso de grupos como Conti, esto incluye hacer una estimación precisa de la situación financiera de la víctima y la existencia de una póliza de seguro cibernético, así como la calidad e importancia de los datos que han exfiltrado, e incluso el enfoque e intereses de los negociadores de la víctima. Conti, en particular, también considera que su “buena” reputación es muy importante para él y lo tiene en cuenta en sus negociaciones.
“Es notable cuán sistemáticos son estos ciberdelincuentes al definir el número de rescate y en la negociación. Nada es casual y todo está definido y planificado de acuerdo a los factores que hemos descrito”, dijo Shykevich.
La investigación también encontró que la duración del ataque de ransomware promedio disminuyó significativamente en el transcurso de 2021, hasta nueve días desde los 15 del año anterior. Check Point cree que esto puede ser una consecuencia de que las organizaciones hayan establecido planes de respuesta más apropiados para mitigar el impacto de los ataques de ransomware, después de haber sido sorprendidos por la aparición de tácticas de doble extorsión en 2020, que ahora es un lugar común.
Check Point dijo que estaba claro que el panorama de la llamada economía del ransomware cambia constantemente a medida que los depredadores y las presas compiten para obtener una ventaja, mientras que muchas organizaciones se han adaptado y mejorado con éxito su preparación para el ransomware, el proceso de ataque y negociación también está cambiando. , como han demostrado las filtraciones de Conti.
Los datos de Check Point fueron ampliamente respaldados en una investigación separada publicada a principios de esta semana por Sophos que ofreció información adicional sobre la economía del ransomware. Sophos estableció que el pago de rescate promedio en todo el mundo resultó en poco menos de £ 650,000, con un costo total de recuperación de £ 1,12 millones durante el primer mes posterior a la infracción, una disparidad no tan dramática, pero aún sustancial.
Más preocupante fue uno de los principales hallazgos de la investigación de Sophos, que sugirió que un número considerable de víctimas de ransomware que pagaron un rescate lo hicieron a pesar de tener la capacidad de restaurar datos cifrados. Es probable que esto se deba al aumento de los ataques de doble extorsión, lo que significa que, independientemente de si pueden o no restaurar desde las copias de seguridad, las víctimas sienten que no tienen más remedio que pagar para evitar que sus datos se filtren públicamente o se vendan.