El rescate pagado se está convirtiendo en un elemento cada vez más pequeño del costo total de un ataque de ransomware en una organización o entidad objetivo, y este último supera siete veces al primero, según los datos de los analistas de Check Point Research.
El equipo de Check Point analizó los datos del especialista en cuantificación cibernética Kovrr en su base de datos de incidentes, así como el contenido de las filtraciones recientes de Conti, y concluyó que el rescate pagado, si es que se pagó, fue compensado por costos como la respuesta a incidentes y los eclipses de gestión de reputación. servicios, sistema y recuperación de datos, honorarios legales y nueva tecnología de seguridad.
También resultó que las pandillas de ransomware tienden a cobrar una suma equivalente a las ganancias anuales de la víctima, que generalmente oscila entre el 0,7 % y el 5 %. Como regla general, cuanto menor sea el porcentaje de reclamo, mayores serán las ganancias de la víctima, ya que aún representan un valor monetario más alto.
“Vale la pena señalar que para las víctimas, el ‘costo colateral’ del ransomware es siete veces el rescate que pagan. Nuestro mensaje para el público es que crear defensas cibernéticas adecuadas desde el principio, en particular un plan de respuesta bien definido a los ataques de ransomware, puede ahorrarles a las organizaciones una cantidad significativa de dinero”, dijo Sergey Shykevich, Gerente del Grupo de Inteligencia de Amenazas de Check Point.
“La conclusión clave es que el rescate pagado, que preocupa a la mayoría de los investigadores, no es un número clave en el ecosistema de ransomware. Tanto los ciberdelincuentes como las víctimas tienen muchas otras consideraciones financieras y consideraciones en torno al ataque”.
Esto fue corroborado por algunos de los otros hallazgos de la investigación, que mostraron que las pandillas de ransomware tienen reglas básicas claras para una negociación «exitosa».
En el caso de corporaciones como Conti, esto incluye una evaluación precisa de la situación financiera de la víctima y la existencia de seguros cibernéticos, así como la calidad e importancia de los datos extraídos, pero también el enfoque y los intereses del negociador de la víctima. Conti, en particular, concede gran importancia a su “buena” reputación y la incluye en sus negociaciones.
“Es notable cómo estos ciberdelincuentes establecen y negocian el número de rescate de manera sistemática. Nada es casual y todo está definido y planificado de acuerdo con los factores que hemos descrito”, dijo Shykevich.
La investigación también encontró que la duración del ataque de ransomware promedio disminuyó significativamente en el transcurso de 2021, de 15 días en el año anterior a nueve días. Check Point cree que esto puede ser el resultado de que las organizaciones creen planes de respuesta más apropiados para mitigar el impacto de los ataques de ransomware después de haber sido sorprendidos por la aparición de tácticas de ransomware duplicadas en 2020 que ahora son comunes.
Check Point dijo que está claro que el panorama de la llamada economía del ransomware cambia constantemente a medida que los depredadores y las presas compiten por una ventaja, mientras que muchas organizaciones han ajustado y mejorado con éxito su preparación para el ransomware, el proceso de ataque y negociación también está en movimiento. flujo, como han demostrado los Conti-Leaks.
Los datos de Check Point fueron ampliamente respaldados en un estudio separado publicado por Sophos a principios de esta semana y ofrecieron información adicional sobre la economía del ransomware. Sophos descubrió que el pago de rescate promedio a nivel mundial es de poco menos de £ 650,000, con un costo total de recuperación en el primer mes después de la infracción de £ 1,12 millones, una diferencia no tan dramática, pero aún así significativa.
Más preocupante aún, uno de los hallazgos clave de la investigación de Sophos sugirió que una cantidad significativa de víctimas de ransomware que pagaron un rescate lo hicieron a pesar de tener la capacidad de recuperar datos cifrados. Esto probablemente se deba al aumento de los ataques de crimen organizado doble, lo que significa que, ya sea que puedan o no restaurar desde las copias de seguridad, las víctimas sienten que no tienen más remedio que pagar para evitar que sus datos se filtren públicamente o se revendan.
