Según Orange Cyberdefense (OCD), la extorsión cibernética sigue proliferando con un número sin precedentes de actores de amenazas y un crecimiento interanual del 77% en las víctimas de extorsión cibernética. En su informe Cy-Xplorer 2024, publicado el 3 de julio, OCD observó que 60 grupos distintos de ransomware fueron responsables de 4374 víctimas durante el período del primer trimestre de 2023 al primer trimestre de 2024. Las empresas que emplean a menos de 1000 personas, clasificadas como pequeñas y medianas empresas (PYMES), sufrieron ataques de extorsión cibernética con una frecuencia 4,2 veces mayor que las empresas más grandes. Diana Selck-Paulsson, investigadora principal de seguridad en OCD, dijo que el gran número de PYMES en el número total de víctimas de extorsión cibernética podría explicarse por el hecho de que los actores de amenazas se han alejado de los ataques ultra selectivos, también llamados «cacería de animales grandes». “Lo que vemos, y lo que nuestros datos de victimología confirmaron, es que hoy en día, los actores de amenazas comprometen una red y solo entonces escanean en busca de objetivos que puedan extorsionar”, explicó durante el evento de lanzamiento del informe en Amberes, Bélgica, el 2 de julio. En general, los datos del informe muestran que los actores de amenazas emplean enfoques oportunistas, apuntando principalmente a organizaciones con niveles más bajos de preparación cibernética en países ricos de habla inglesa como Estados Unidos, el Reino Unido y Canadá. Sin embargo, en general, el informe de OCD muestra que el problema de la extorsión cibernética es universal, y el 75% de todos los países del mundo han tenido empresas directamente afectadas desde 2020. La atención médica ve un aumento del 160% en la extorsión cibernética En los últimos 12 meses, las 20 industrias clasificadas por el Sistema de Clasificación Industrial de América del Norte (NAICS) han sido víctimas de la extorsión cibernética. Como en el informe del año pasado, la fabricación es el sector más atacado, seguido de las organizaciones de servicios profesionales, científicos y técnicos. El sector de la asistencia social y la atención sanitaria, que sufrió un aumento del 160% en los ataques de extorsión cibernética entre 2023 y 2024, se suma a las tres industrias más afectadas por primera vez desde que OCD comenzó a rastrear la extorsión cibernética en 2020. Estos hallazgos llegan durante un período desafiante para la industria de la atención sanitaria, que sufrió varios ciberataques importantes en los últimos meses. Los incidentes incluyen la serie de campañas de extorsión contra Change Healthcare, una subsidiaria de UnitedHealth Group, y una violación de los sistemas de TI del proveedor de patología Synnovis que provocó la filtración de información confidencial de pacientes en el Reino Unido. Las fuerzas del orden comparten el recuento real de víctimas de ransomware El número real de víctimas de extorsión cibernética es probablemente más significativo que el número observado de víctimas que se muestra en Cy-Xplorer y otros informes de inteligencia sobre amenazas de ransomware, explicó Simen Van der Perre, asesor estratégico de OCD, en el evento en Amberes. «Nuestro análisis proviene principalmente de las víctimas reportadas en los sitios de filtración de datos de los grupos de ransomware, con investigación adicional en la web oscura y entrevistas. Por lo general, las víctimas aparecen en estos sitios de filtración de datos porque no han pagado el rescate”, dijo. Esto significa que los investigadores de inteligencia de amenazas no pueden contar a las víctimas que han pagado el rescate antes de ser publicadas en sitios de filtración de datos, un fenómeno que Van der Perre llamó el ‘número oscuro’. «Afortunadamente, la mayor actividad operativa de las fuerzas del orden en los últimos meses nos proporcionó información adicional esclarecedora», agregó. Después de los desmantelamientos de los grupos de ransomware ALPHV / BlackCat y LockBit, las fuerzas del orden compartieron el número real de víctimas de esos grupos. Fueron respectivamente 1,61 y 1,52 veces más altos que el número de víctimas observado anteriormente por OCD. «Con estos datos, descubrimos que el número total de víctimas de extorsión cibernética en 2023 y 2024 es entre un 50% y un 60% mayor de lo que observamos», dijo Van der Perre. Revictimización, la nueva táctica de los grupos de ransomware Finalmente, OCD observó una nueva tendencia de «revictimización». Este fenómeno ocurre cuando una víctima de ransomware es atacada dos veces o más veces en diferentes campañas de ataque, ya sea por el mismo grupo o por otros actores de amenazas. OCD observó más de 200 casos de revictimización, y el primero ocurrió en 2023. Las víctimas fueron publicadas hasta tres veces en los sitios de filtración de datos de los grupos de ransomware, a veces con un gran retraso entre cada aparición, de hasta más de 120 días. “Analizamos las relaciones entre los primeros, segundos y terceros usuarios y concluimos que la revictimización podría ser el resultado de tres posibles escenarios: cruces de afiliados de ransomware, grupos de ransomware que comparten datos y posibles nuevos ataques”, explicó Selck-Paulsson.