Los pagos de ransomware cayeron un 35% en 2024

Los pagos de ransomware descendieron un 35% en 2024, totalizando unos 813,55 millones de dólares. Esta caída se debe, según Chainanalysis, a diversas operaciones contra los grupos que se dedican a realizar este tipo de ataques, pero también a que empresas y organizaciones toman más medidas para reforzar su ciberseguridad que les llevan a poder rechazar estos pagos para recuperar la información tomada como rehén por los atacantes.

Este dato es, no obstante, bastante sorprendente, dada la tendencia al alza en los pagos para solucionar ataques de ransomware registrada en 2023. También porque en la primera mitad de 2024 los atacantes dedicados a estos ataques intentaron extorsionar a un 2,38% más de entidades que en el mismo periodo del año anterior. Pero lo que parecía una tendencia alarmante se vino abajo en la segunda mitad de 2024, ya que los pagos de ransomware cayeron en dicho periodo un 34,9%.

Akira fue el único grupo dedicado al ransomware de los 10 más activos en la primera mitad de 2024 que aumentó su actividad en la segunda parte de año. Por otro lado, a medida que avanzaba 2024, se hacían menos pagos de gran envergadura.

Además, la diferencia entre las cantidades que pidieron los ciberatacantes y las cantidades pagadas por las víctimas aumentó un 53% entre julio y diciembre pasados. Esto puede deberse a una mayor resiliencia en las organizaciones, que les permite valorar el uso de las opciones de recuperación que tienen a su alcance para evitar pagar rescates. Entre ellas, el uso de herramientas de desencriptado, o la restauración de información de copias de seguridad.

Pero a pesar de la caída en pagos de ransomware, en 2024 no fueron todo buenas noticias para la ciberseguridad. El número de nuevos sitios de filtración de datos se dobló el año pasado, aunque muchas organizaciones tenían sus datos publicados en ellas varias veces, y que con cierta frecuencia los grupos de ransomware aseguraban haber puesto en entredicho la seguridad de multinacionales, cuando en realidad solo habían accedido a una sucursal.

Los atacantes también pueden haber exagerado al detallar la cantidad de datos de una empresa que habían quedado comprometidos, y a veces publicaban de nuevo los resultados de ataques antiguos. Se trata de una técnica que usan con frecuencia para seguir teniendo relevancia, o para parecer activos después de una operación policial contra ellos.

El grupo LockBit, responsable del tipo más común de ransomware, desplegado en 2023, fue el objetivo de una operación policial en febrero de 2024, que lo dejó bastante mermado. Cuando los miembros que quedaron operativos recuperaron su actividad algo después, vieron que los pagos al grupo caían en un 79% entre julio y diciembre, y los ataques de los que se declaró responsables bajaron de un 26% del total al 20%. El segundo grupo más activo en 2023, ALPHV, dejó también de operar en 2024 después de varios incidentes fallidos.

Pero a pesar de todo, los grupos de ransomware siguen evolucionando para adaptarse y sobreponerse a las operaciones legales y policiales contra ellos, con nuevas cadenas de ransomware que aparecen de código filtrado o comprado, y que tienen como objetivo evitar su detección.

Los ataques son también más rápidos, con las negociaciones para pagos y peticiones de rescate que ahora comienzan solo unas horas después del inicio del ataque. No obstante, las autoridades se están poniendo al día de este tipo de tácticas, y valoran la toma de contramedidas más drásticas para el futuro, y hacer que este tipo de ciberataques sean poco o nada atractivo para las bandas.