Compañía Fortune 50 paga demanda récord de 75 millones de dólares por ransomware
Una empresa de Fortune 50 pagó 75 millones de dólares a sus ciberatacantes a principios de este año, superando con creces cualquier otro pago de rescate confirmado en la historia. El beneficiario del pago es un grupo llamado Dark Angels. Y Dark Angels no solo es eficaz: en cierto modo, la banda cambia radicalmente gran parte de lo que creíamos saber sobre el ransomware.
Por supuesto, ha habido otras grandes sumas desembolsadas en el pasado: en 2021, se informó que CNA Financial, con sede en Illinois, había pagado una cantidad sin precedentes en ese momento. Rescate de 40 millones de dólares para restaurar sus sistemas después de un ataque de ransomware (la compañía nunca confirmó esa cifra). Más tarde ese año, el fabricante de carne JBS admitió haber pagado 11 millones de dólares para poner fin a una perturbación que afecta a sus fábricas. El Caesars Palace pagó el año pasado 15 millones de dólares para hacer que sus problemas de interrupción por ransomware desaparezcan.
Pero esas cifras palidecen en comparación con los 75 millones de dólares en Bitcoin equivalentes pagados por la gran organización antes mencionada, que Zscaler decidió mantener en el anonimato en su informe de 2024. Informe anual sobre ransomwaredonde se registró por primera vez el pago. El monto en dólares también se ha corroborado por Chainalysis.
Conoce a los Ángeles Oscuros
Dark Angels apareció por primera vez en mayo de 2022. Desde entonces, su especialidad ha sido derrotar a menos objetivos, pero de mayor valor que sus hermanos ransomware. Entre sus víctimas anteriores se incluyen varias empresas del S&P 500 de diversas industrias: atención médica, gobierno, finanzas, educación, fabricación, telecomunicaciones y más.
Por ejemplo, el año pasado se produjo un ataque que atrajo la atención de los medios de comunicación contra el megalito Johnson Controls International (JCI). El ataque vulneró los derechos de propiedad intelectual de la empresa. Hipervisores VMware ESXicongelándolos con Ragnar Locker y robando un total de 27 terabytes valor de los datos. La demanda de rescate: 51 millones de dólares. No está claro cómo respondió Johnson Controls, pero, considerando su Esfuerzo de limpieza de más de 27 millones de dólaresEs probable que la empresa no haya cedido.
En ese momento, 27 millones de dólares habrían sido el segundo pago de rescate más grande registrado en la historia (después del pago informado a la CNA). Pero hay evidencia que sugiere que no se trató simplemente de una táctica de negociación extravagante: los Dark Angels tienen buenas razones para pensar que pueden lograr ese tipo de botín.
Dark Angels trata el ransomware de forma diferente
Olvídate de todo lo que sabes sobre ransomware y comenzarás a comprender a los Ángeles Oscuros.
A contracorriente, el grupo no opera un negocio de ransomware como servicio ni tiene su propia variedad de malware: prefiere tomar prestados cifradores como El armario de Ragnar y polvo.
Su éxito se debe, en cambio, a tres factores principales: primero, el cuidado adicional que puede tener al atacar a menos objetivos, pero de mayor rendimiento.
En segundo lugar, está su capacidad para extraer grandes cantidades de datos confidenciales. Como explica Brett Stone-Gross, director sénior de inteligencia sobre amenazas en Zscaler: «Si nos fijamos en muchos de estos otros grupos de ransomware, sus afiliados roban quizá unos pocos cientos de gigabytes de datos. A veces, incluso menos de 100 gigabytes de datos. Por lo general, roban alrededor de un terabyte o algo así. En cambio, los Ángeles Oscuros roban decenas de terabytes de datos».
En eso, Dark Angels difiere sólo en grado, no en naturaleza. Donde realmente se distingue de otros grupos es en su sutileza. El sitio de la filtración no es llamativo. No hace grandes declaraciones sobre sus últimas víctimas. Además de los obvios beneficios de seguridad operativa que ofrece el sigilo (ha escapado en gran medida al escrutinio de los medios en los últimos años, a pesar de haber logrado importantes infracciones), su aversión a ser el centro de atención también le ayuda a obtener mayores retornos de la inversión.
Por ejemplo, el grupo suele evitar cifrar los datos de las víctimas, con el propósito expreso de permitirles seguir operando sin interrupciones, lo que parece desafiar la sabiduría popular. ¿Acaso la amenaza de tiempo de inactividad y el escrutinio de los medios son herramientas eficaces para lograr que las víctimas paguen?
«Uno podría pensar eso, pero los resultados dicen lo contrario», sugiere Stone-Gross.
Dark Angels hace que pagar el rescate sea fácil y silencioso, una perspectiva atractiva para las empresas que solo quieren dejar atrás las brechas de seguridad. Y evitar interrupciones en el negocio es mutuamente beneficioso: sin las elevadas facturas asociadas con el tiempo de inactividad, las empresas tienen más dinero para pagar a Dark Angels.
¿Se pueden cortar las alas de los Ángeles Oscuros?
En su informe, Zscaler predijo «que otros grupos de ransomware tomarán nota del éxito de Dark Angels y podrían adoptar tácticas similares, centrándose en objetivos de alto valor y aumentando la importancia del robo de datos para maximizar sus ganancias financieras».
Si eso llegara a suceder, las empresas se enfrentarían a exigencias de rescate mucho más elevadas y a la vez más convincentes. Afortunadamente, el enfoque de Dark Angels tiene un talón de Aquiles.
«Si se trata de un terabyte de datos, [a hacker] «Probablemente podamos completar esa transferencia en varios días, pero cuando hablamos de terabytes (decenas de terabytes de datos), ahora estamos hablando de semanas», señala Stone-Gross. Por lo tanto, las empresas que puedan atrapar a los Ángeles Oscuros en el acto podrían detenerlos antes de que sea demasiado tarde.