Ransomware cae pero la amenaza permanece en medio de la pandemia COVID-19

Normalmente, los atacantes con ransomware han encontrado un objetivo digno en los sistemas informáticos de las instalaciones médicas. Como los pacientes confían en el correcto funcionamiento de los sistemas hospitalarios, la teoría es que esas empresas estarán más dispuestas a pagar para que les devuelvan sus datos.

Expertos en seguridad advierten sobre el aumento de los rescates, pero los ingresos disminuyen

Dado que los hospitales de todo el mundo nunca han tenido una demanda tan grande, el valor de los sistemas informáticos en pleno funcionamiento en las instalaciones médicas tampoco ha sido nunca mayor. De acuerdo con este razonamiento, es de esperar que un mayor número de organizaciones sean víctimas de los atacantes que se aprovechan de esta amplia influencia. Sin embargo, los datos del análisis en cadena sugieren que ocurre lo contrario. En marzo, el valor en dólares de los pagos de rescates digitales enviados a direcciones encriptadas cayó por debajo de los 500.000 dólares. Este es el nivel más bajo al que ha llegado desde noviembre de 2019 y el segundo más bajo desde febrero del mismo año. La empresa también observa que el número de direcciones de rescate activas se redujo drásticamente en marzo. Sin embargo, el mes anterior vio el número de direcciones asociadas con el crimen en niveles altos no observados desde 2017.

Ransomware payments have decreased significantly since the Covid-19 crisis intensified in the U.S. and Europe in early Marchhttps://t.co/vu5avZIZM7 pic.twitter.com/fXBOfzQ9a1

— unfolded. (@cryptounfolded) April 16, 2020

La empresa forense Blockchain también señala que las cifras que comunican tienden a ser una subestimación, ya que algunas organizaciones se limitan a pagar las demandas para salvar las apariencias. En un momento de gran demanda de servicios médicos, es plausible que un mayor número de víctimas haya dejado de informar sobre los casos debido a preocupaciones más apremiantes.

¿Los atacantes están dejando de lado los esfuerzos de rescate por ahora?

Aunque podría decirse que el hecho de que los atacantes eviten a propósito los hospitales durante el tiempo de la crisis es una historia mejor, no parece ser el caso. En correspondencia con varios grupos de hackers, BleepingComputer descubrió que muchos de los grupos detrás de las cepas dominantes de ransomware afirman que nunca tuvieron la intención de atacar los hospitales de todos modos. En un correo electrónico particularmente revelador, un presunto operador del malware Netwalker declaró:

“¿Hospitales e instalaciones médicas? ¿Crees que alguien tiene como objetivo atacar los hospitales? No tenemos ese objetivo, nunca lo tuvo. Fue una coincidencia. Nadie va a hackear el hospital a propósito”.

Contrariamente a lo anterior, la investigación de Chainalysis encontró que durante la crisis se intentó un ataque Netwalker contra dos centros médicos diferentes. De manera similar, los que estaban detrás de la tensión declararon que no renunciarían a los honorarios de las compañías médicas que fueron encriptados por “accidente”. También contrario a la tesis del “atacante ético” es el hecho de que los operadores de Maze Ransomware rompieron su palabra de no atacar las instalaciones médicas. El grupo declaró como tal a través de un comunicado de prensa, sólo para dar a conocer los datos de Hammersmith Medicines Research poco después. Otro grupo, DoppelPaymer, había afirmado que siempre había proporcionado servicios de desencriptación de forma gratuita a la industria de la salud, y COVID-19 no había cambiado nada, según BleepingComputer. De las cepas de ransomware activas en este momento, sólo DoppelPaymer parece haber cumplido su promesa de no atacar a las instalaciones médicas. Sin embargo, los que están detrás de ella han estado activos contra otras organizaciones. Si bien las cifras sugieren que el número de víctimas y la tasa de éxito de los rescates están disminuyendo, sigue siendo una amenaza importante. BeInCrypto informó recientemente sobre numerosos ataques de alto perfil con rescates. Estos incluían el gobierno francés y un sitio web de la Agencia de Salud Pública de Illinois. De manera similar, Chainalysis observa un aumento de estafadores que usan COVID-19 como inspiración para correos electrónicos de phishing y otros contenidos de cara a las víctimas.