El costo total de un ataque de ransomware se puede dividir en dos costos principales. Primero, el costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstrucción de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación. El segundo, ya menudo más costoso costo de un ataque de ransomware es el costo total del tiempo de inactividad. Los costos de tiempo de inactividad suelen ser de 5 a 10 veces la cantidad de rescate real y se miden en pérdida de productividad (trabajo flojo y oportunidades de ingresos perdidos).
En el primer trimestre de 2019, el rescate promedio aumentó en un 89% a $ 12,762, en comparación con $ 6,733 en el cuarto trimestre de 2018 . El aumento en el rescate refleja un aumento en las infecciones de tipos más costosos de ransomware como Ryuk, Bitpaymer e Iencrypt. Estos tipos de ransomware se utilizan predominantemente en ataques dirigidos a medida en objetivos empresariales más grandes.
¿Cuánto tiempo de inactividad causa un ataque de ransomware?
En el primer trimestre de 2019, el tiempo de inactividad promedio aumentó a 7.3 días, de 6.2 días en el cuarto trimestre de 2018 . El aumento en el tiempo de inactividad fue impulsado por la mayor actividad del ransomware que es difícil de descifrar, como Ryuk . De manera similar, la mayoría de las variantes de Hermes también requieren mucho tiempo para descifrar con tasas de pérdida de datos relativamente altas (10-20%) en comparación con otros tipos de ransomware. El tiempo de inactividad aumentó en un 47% en el cuarto trimestre. El aumento en el tiempo de inactividad se debió a la frecuencia de ataques en los que se borraron o cifraron los sistemas de respaldo como parte del ataque, un indicador de la naturaleza cada vez más personalizada de los ataques.
¿Cuánto cuesta el tiempo de inactividad relacionado con el ransomware?
En el primer trimestre, los costos estimados de tiempo de inactividad por ataque de ransomware por compañía promediaron $ 65,645. Los costos del tiempo de inactividad se vuelven particularmente agudos para las compañías que carecen de un seguro cibernético y / o un seguro de interrupción del negocio. Los costos de inactividad se estiman en función de la geografía y la industria de la víctima (para estimar los costos laborales), para estimar los costos de inactividad por hora. Los costos reales de tiempo de inactividad pueden variar significativamente de nuestras estimaciones.
¿Cuántos datos se recuperan después de pagar un rescate?
Cuando una víctima de ransomware se ve obligada a pagar un rescate, hay dos métricas de éxito que determinan el resultado. Primero, ¿el resultado del pago es una herramienta de descifrado en funcionamiento que se entrega? Si el actor de amenazas no se entregó, se considera un incumplimiento y probablemente llevará a una tasa de recuperación de datos del 0%. En segundo lugar, si se entrega una herramienta de descifrado en funcionamiento, ¿qué tan efectiva es descifrar los datos? Los archivos y servidores pueden dañarse durante o después del proceso de cifrado, lo que puede afectar las tasas de recuperación de datos incluso cuando se entrega una herramienta de descifrado.
¿Con qué frecuencia se entrega una herramienta de descifrado después de pagar un rescate?
En el primer trimestre de 2019, el 96% de las compañías que pagaron el rescate recibieron una herramienta de descifrado. Esto fue un aumento del 3% respecto al trimestre anterior. Sin embargo, las tasas de éxito de pago variaron según el tipo de ransomware. Por ejemplo, el sitio de GandCrab TOR siguió siendo muy confiable y entregó una herramienta de descifrado poco después de que se ejecutó el pago. Sin embargo, algunas variantes de Dharma son mucho más riesgosas dependiendo de la variante y el actor de amenaza.
¿Cuántos datos se recuperan con un desencriptador de ransomware?
En el primer trimestre de 2019, las víctimas que pagaron por un descifrador recuperaron el 93% de los datos cifrados. Esta estadística varió dramáticamente dependiendo del tipo de ransomware. Por ejemplo, el ransomware Ryuk tenía una tasa de recuperación de datos relativamente baja , en ~ 80%, mientras que GandCrab estaba cerca del 100%. La pérdida de datos se debió a un proceso de cifrado que dañó o borró los archivos, o la modificación inapropiada de los datos a archivos ya cifrados. Por supuesto, a veces las herramientas de descifrado son simplemente propensas a errores.
¿Qué Cryptocurrencies se utilizan para pagar por Ransomware?
Bitcoin sigue siendo la criptomoneda más común para los pagos de ransomware y el manejo de la criptomoneda sigue siendo una fuente importante de fricción para las víctimas y, por lo tanto, también para los actores de la amenaza. Es poco probable que el ransomware gire hacia una criptomoneda diferente en el corto plazo, ya que están aún más matizados de adquirir y manejar. Esto se destaca por la facilidad con que los actores de amenazas «mezclan» bitcoins o los intercambian por otras monedas de privacidad, como Dash o Monero. Gandcrab es el único tipo común de ransomware que acepta pagos en Dash o Bitcoin. Las víctimas de Gandcrab que pagan con Bitcoin pagan un 10% más debido a los costos de «mezcla» en que incurren los actores de la amenaza para anonimizar el bitcoin después del pago.
¿Cuáles son los tipos más comunes de ransomware?
Dharma / Crysis continuó siendo el ransomware más prevalente en el primer trimestre de 2019, pero Ryuk ganó una participación de mercado significativa (especialmente considerando que no estaba en el top 3 en el cuarto trimestre de 2018 ). Los 3 tipos más comunes (Dharma, Ryuk y GandCrab) son únicos en sus métodos de distribución, objetivos y costos. Dharma continuó siendo operado por un número cada vez mayor de grupos técnicamente poco sofisticados, que deprimieron las tasas de recuperación de datos a pesar de las crecientes cantidades de rescate. Ryuk continuó apuntando a empresas más grandes y sorprendiendo a las víctimas con demandas de rescate atroces. GandCrab continuó innovando los canales de distribución, y los desarrolladores lo incorporaron con nuevos y populares kits de exploits.
¿Cuáles fueron los vectores de ataque más comúnmente identificados para el ransomware?
Antes de una infección por ransomware, se pueden usar múltiples vectores de ataque para obtener acceso y / o control de un sistema vulnerable. De esos vectores de ataque, el más comúnmente identificado sigue siendo el protocolo de escritorio remoto (RDP) . Sin embargo, el correo electrónico de suplantación de identidad fue resurgido durante el primer trimestre Esperamos que los ataques basados en phishing aumenten en la cuota de mercado a medida que evolucionen las técnicas de ingeniería social y la conciencia de seguridad de los empleados continúe siendo un problema difícil de resolver. Tanto el RDP como los ataques basados en phishing tienen el objetivo principal de obtener credenciales elevadas. Una vez que se cosechan las credenciales, se puede supervisar la red, se evita la protección de los puntos finales, se borran / cifran las copias de seguridad y, finalmente, se cifran los servidores primarios.
Comparando los tres tipos principales de ransomware por Attack Vector
Las diferencias en el vector de ataque reflejaron la sofisticación y las preferencias de los actores de amenazas que distribuyen el ransomware. Dharma continuó explotando los puertos RDP expuestos, que se encuentran comúnmente en las empresas más pequeñas. Ryuk confió mucho más en el phishing dirigido a correos electrónicos, lo que refleja la preferencia de los actores de amenazas de perseguir a organizaciones más grandes. Estos ataques más dirigidos requieren más ingeniería social a través de las técnicas de phishing con caña y ballena. GandCrab es uno de los únicos tipos de ransomware que utiliza vulnerabilidades de software, cuyo vértice fue la explotación de Connectwise / Kaseya que afectó a numerosos proveedores de servicios gestionados y sus clientes finales durante el primer trimestre de 2019.
Comparando los tres tipos principales de ransomware por el tamaño de la empresa víctima
Los datos del primer trimestre muestran una imagen clara de Ryuk apuntando a organizaciones más grandes que Dharma y GandCrab. Ryuk fue altamente virulento en el mercado medio y superior durante la Q1, mientras que las variantes de Dharma continuaron impactando en el mercado medio y hacia abajo. El impacto de GandCrab fue más disperso, pero tendió a impactar a empresas más pequeñas y consumidores individuales.
Ryuk continuó estableciendo récords con demandas de rescate que son un orden de magnitud más grande que otros tipos de ransomware. Ryuk se dirigió a organizaciones más grandes que tienen la capacidad financiera para pagar demandas más grandes y una menor tolerancia al tiempo de inactividad. Sin embargo, existe una fuerte resistencia al tamaño de estas demandas y esperamos que se nivelen y, a medida que Ryuk busca más objetivos en el mercado.
¿A qué industrias se dirigen comúnmente los ransomware?
Los servicios profesionales, como los bufetes de abogados y las firmas de APC, a menudo son blanco de ransomware. Las pequeñas organizaciones de atención de la salud, como las oficinas de especialistas locales, a menudo también son objetivo. Estas empresas tienden a invertir poco en las políticas de seguridad y copia de seguridad de TI, y tienen una baja tolerancia a la pérdida de datos, lo que las hace vulnerables a los objetivos de ransomware.
¿Cuál fue el tamaño promedio de la compañía objetivo por ransomware?
En el primer trimestre de 2019, el tamaño promedio de la empresa aumentó a 114 empleados, en comparación con 71 en el cuarto trimestre . Este aumento reflejó una mayor prevalencia de tipos de ransomware que se dirigen a empresas medianas y grandes, como Ryuk y LockerGoga. Como resultado de los ataques de phishing dirigidos, estas infecciones fueron más comunes en el primer trimestre.
Fuente en imagenes de Coveware.com