“El estado del ransomware 2020”, una encuesta realizada a escala mundial por Sophos, ha revelado que pagar a los cibercriminales no es la mejor manera de recuperar los datos cifrados durante un ataque de ransomware (secuestro de información) porque, además, cuesta mucho.
De hecho, se ha encontrado que el costo total de la recuperación casi se duplica cuando las empresas pagan el rescate. Lo que ha resultado aún más inquietante es que el 53 % de las empresas españolas sufrió un ataque de ransomware durante el 2019, frente al 42 % que espera sufrirlo en el futuro.
La encuesta sobre “El estado del ransomware 2020” se ha realizado con 200 responsables de TI (Tecnología de la Información) de empresas españolas, de todos los sectores, que abarcan desde 100 hasta cinco mil trabajadores.
En un comunicado de prensa se ha explicado que estos ataques han supuesto un costo medio de 260 mil euros para las empresas atacadas, a pesar de que solo un 4 % de estas organizaciones reconocen haber pagado el rescate exigido por los ciberatacantes.
Chester Wisniewski, investigador científico principal de Sophos, ha dicho que las organizaciones pueden sentir una intensa presión para pagar el rescate para evitar daños en el tiempo de inactividad.
Y es que, a primera vista, pareciera que pagar el rescate sería una forma efectiva de restaurar los datos sensibles de las empresas afectadas, pero el experto considera que se trata de algo ilusorio.
“Los hallazgos de Sophos muestran que pagar el rescate hace poca diferencia en la carga de recuperación en términos de tiempo y costo. Esto podría deberse a que es poco probable que una sola clave de descifrado mágico sea todo lo que se necesita para recuperarse”.
El investigador cree que los atacantes a menudo pueden compartir varias claves y usarlas para restaurar datos, pero puede ser un asunto complejo que requiere mucho tiempo.
Recuperar datos sin pagar
La encuesta sobre “El estado del ransomware 2020” ha sido encargada a escala global a Vanson Bourne, un especialista independiente en investigación de mercado.
Se ha logrado entrevistar a cinco mil tomadores de decisiones de TI en 26 países, incluyendo Estados Unidos, Canadá, Francia, Alemania, Reino Unido, Italia, Países Bajos, Bélgica, España, entre otros.
Más de la mitad (56 %) de los gerentes de TI encuestados pudieron recuperar sus datos de las copias de seguridad sin pagar el rescate y, en una minoría de casos (1 %), pagar el rescate no condujo a su recuperación.
“Esta cifra aumentó al 5 % para las organizaciones del sector público. De hecho, el 13 % de las organizaciones del sector público encuestadas nunca lograron restaurar sus datos cifrados, en comparación con el 6 % en general”.
El sector público, contrariamente a la creencia popular, ha sido el menos afectado por el ataque de ransomware según el estudio, ya que solo el 45 % de las organizaciones encuestadas (en esta categoría) fueron atacadas significativamente en el año anterior.
A escala mundial, las empresas de medios, ocio y entretenimiento en el sector privado han sido las más afectadas por el secuestro de información, con un 60 % de los encuestados que informaron ataques.
La presión para pagar
Los investigadores de Sophos Labs también han publicado un nuevo informe denominado Maze Ransomware: Extorsionando a las víctimas durante 1 año y contando.
En el documento se han analizado las herramientas, técnicas y procedimientos utilizados por esta amenaza avanzada que combina el cifrado de datos con el robo de información y la amenaza de exposición.
“Este enfoque, que los investigadores de Sophos también han observado que otras familias de ransomware adoptaron, como LockBit, está diseñado para aumentar la presión sobre la víctima para que pague el rescate”.
Es por esto que se espera que el nuevo informe de Sophos ayude a los profesionales de seguridad a comprender y anticipar mejor los comportamientos en evolución de los atacantes de ransomware y proteger sus organizaciones.
Wisniewski ha agregado que un sistema de respaldo efectivo que permita a las organizaciones restaurar datos cifrados, sin pagar a los atacantes, es crítico para el negocio. Dijo que hay otros elementos importantes a considerar si una empresa es realmente resistente al secuestro de información.
“Los adversarios avanzados como los operadores detrás del ransomware Maze no solo encriptan archivos, sino que roban datos para una posible exposición o extorsión”.
Señaló además que han informado sobre LockBit usando esta táctica. Explicó que algunos atacantes también intentan eliminar o sabotear las copias de seguridad para dificultar que las víctimas recuperen datos y, así, aumentar la presión sobre ellos para que paguen.
A su juicio, la forma de abordar estas maniobras maliciosas es mantener las copias de seguridad fuera de línea y utilizar soluciones de seguridad efectivas y de varias capas que detecten y bloqueen los ataques en diferentes etapas.
