Staff/RG
El panorama del ransomware experimentó cambios significativos en 2024, y las criptomonedas siguieron desempeñando un papel central en la extorsión. Sin embargo, el volumen total de los pagos de rescates disminuyó de un año a otro en aproximadamente un 35%, impulsado por el aumento de las acciones policiales, la mejora de la colaboración internacional y la creciente negativa de las víctimas a pagar.
En respuesta, muchos atacantes cambiaron de táctica, con nuevas variantes de ransomware surgidas de códigos rebautizados, filtrados o comprados, lo que refleja un entorno de amenazas más adaptable y ágil. Las operaciones de ransomware también se han vuelto más rápidas, y las negociaciones a menudo comienzan pocas horas después de la extracción de los datos. Los atacantes abarcan desde agentes estatales hasta operaciones de ransomware como servicio (RaaS), operadores en solitario y grupos de extorsión para el robo de datos, como los que extorsionaron y robaron datos de Snowflake, un proveedor de servicios en la nube.
La actividad del ransomware cambió a mitad de año
En 2024, los atacantes de ransomware recibieron aproximadamente 813.55 millones de dólares en pagos de las víctimas, una disminución del 35% desde el año récord de 2023 de 1,250 millones de dólares, y por primera vez desde 2022, los ingresos del ransomware disminuyeron.
Como señalamos en nuestro reporte de mitad de año, el valor recaudado por los delincuentes de ransomware entre enero y junio de 2024 alcanzó los 459.8 millones de dólares, aproximadamente un 2.38% más que el valor recaudado durante el mismo periodo de tiempo en 2023. En el primer semestre de 2024 también se produjeron algunos pagos excepcionalmente elevados, como el pago récord de 75 millones de dólares a Dark Angels.
A pesar de su pequeño aumento de la mitad, esperábamos que 2024 superara los totales de 2023 a finales de año. Sin embargo, afortunadamente la actividad de pagos se ralentizó después de julio de 2024 en aproximadamente un 34.9%. Esta ralentización es similar al descenso de los pagos de rescates desde 2021 y al descenso general durante el segundo semestre de 2024 de algunos tipos de delitos relacionados con las criptomonedas, como el robo de fondos. En particular, el descenso de este año es más pronunciado que en los últimos tres años.
Vemos que los fondos de los rescates circularon principalmente a través de bolsas centralizadas (CEX) (utilizadas para desviar fondos), monederos personales (para retener fondos) y puentes (para intentar ocultar el movimiento de fondos). Observamos un descenso sustancial en el uso de mezcladores en 2024. Históricamente, los servicios de mezcla captaban habitualmente entre el 10% y el 15% de los flujos trimestrales de lavado de dinero del ransomware. La disminución de la mezcla entre los actores de ransomware a lo largo de los años es muy interesante y un testimonio del impacto disruptivo de las sanciones y las acciones policiales, como las adoptadas contra Chipmixer, Tornado Cash y Sinbad. En lugar de los mezcladores, hemos observado que los autores de ransomware recurren cada vez más a los puentes entre cadenas para facilitar su deslocalización. Por el contrario, los CEX siguen siendo uno de los pilares de la estrategia de offramping del ransomware, y en 2024 se observará una dependencia ligeramente superior a la media en este tipo de servicios (39% frente al 37% para el periodo comprendido entre 2020 y 2024).