Los archivos de la SEC muestran los costes y las pérdidas ocultas del 'ransomware'
Una revisión de los archivos 8-K de 2021 de la Comisión de Valores de Estados Unidos revela una imagen más completa de los daños financieros del ransomware.
El azote del ransomware alcanzó niveles sin precedentes en 2021, con actores de amenazas de exigiendo, y en muchos casos recibiendo, pagos de rescates de millones de dólares. El mayor procesador de carne del mundo, JBS, confirmó en junio de 2021 que pagó el equivalente a 11 millones de dólares de rescate para responder al hackeo criminal contra sus operaciones.
Colonial Pipeline pagó 4,43 millones de dólares a los atacantes de su ransomware en mayo de 2021, aunque en una operación posterior, el Departamento de Justicia de Estados Unidos (DOJ) se incautó de 2,3 millones de dólares de esa cantidad. En mayo, el proveedor de dispositivos de copia de seguridad ExaGrid pagó un rescate de 2,6 millones de dólares a los ciberdelincuentes que atacaron la empresa con el ransomware Conti.
Los costes reales de los ataques de ransomware, incluida la pérdida de ingresos, pueden eclipsar con creces el simple importe en dólares de cualquier rescate pagado. Para la mayoría de las empresas privadas, los costes de los ataques de ransomware, e incluso los propios ataques, pueden quedar ocultos, que es una de las razones por las que la semana pasada se convirtieron en ley los informes obligatorios sobre el pago de rescates para todas las organizaciones.
Por otra parte, las empresas que cotizan en bolsa están obligadas a informar a la Comisión de Valores de Estados Unidos (SEC) de cualquier incidente cibernético que afecte materialmente a sus operaciones, incluidos los ataques de ransomware. La mayoría de las empresas que cotizan en bolsa y están registradas en la SEC cumplen esta obligación informando de estos ataques en un formulario de la SEC llamado 8-K. (Nota: la SEC está desarrollando planes para exigir a todas las empresas que cotizan en bolsa que informen de los incidentes materiales de ciberseguridad en un plazo de cuatro días, después de que el registrante determine que ha sufrido un incidente de este tipo).
El examen de CSO de las presentaciones 8-K en la SEC encontró 30 empresas que cotizan en bolsa que informaron de un incidente de ransomware, pagaron gastos relacionados con el ransomware o recibieron reembolsos de seguros relacionados con el ransomware durante 2020 y 2021. Aunque la mayoría de estas presentaciones consideraron que los ataques de ransomware no eran importantes, o carecían de datos financieros para detallar los costes experimentados al hacer frente a los incidentes, siete contenían datos de costes suficientes para arrojar luz sobre lo altos que pueden ser los costes de un incidente de ransomware.
El ransomware le cuesta a una empresa 50 millones de dólares en gastos legales y a otra 64 millones de dólares en pérdida de ingresos
A continuación se muestran algunos de los datos de estos archivos.
1. Sinclair Broadcast Group: El gigante de los medios de comunicación y la radiodifusión informó de que sufrió un incidente de ransomware en octubre de 2021. Sinclair dijo que no pagó ningún rescate y que pudo restaurar su red a partir de copias de seguridad, pero que algunas interrupciones afectaron a los ingresos y los gastos. El incidente provocó una pérdida de 63 millones de dólares en ingresos publicitarios para el segmento de difusión en el cuarto trimestre y 11 millones de dólares en costes de reparación. Después de los posibles reembolsos del seguro, la empresa estima que el incidente cibernético habrá provocado una pérdida neta irrecuperable de aproximadamente 24 millones de dólares. Sin embargo, esta estimación puede aumentar, ya que los detalles de la recuperación son todavía fluidos.
2. Blackbaud, Inc: La empresa de tecnología en la nube Blackbaud fue golpeada por un ataque de ransomware en mayo de 2020, después de lo cual evitó con éxito que el actor de la amenaza bloqueara el acceso a su sistema y cifrara completamente los archivos, expulsando finalmente al actor de su sistema. Sin embargo, el atacante eliminó una copia de un subconjunto de datos de su entorno de nube privada autoalojada, y Blackbaud acabó pagando el rescate exigido.
Durante 2020, Blackbaud registró 10,4 millones de dólares de gastos relacionados con el incidente de seguridad y compensó las probables recuperaciones del seguro de 9,4 millones de dólares. Tras el incidente, Blackbaud recibió unas 570 reclamaciones de reembolso de gastos de clientes o de sus abogados relacionadas con el incidente. En julio de 2021, un tribunal permitió que esas demandas siguieran adelante. En febrero de 2022, Blackbaud firmó un acuerdo de crédito que preveía hasta 50 millones de dólares de gastos legales no recurrentes pagados en efectivo asociados con la violación de datos y el ataque de ransomware relacionado.
3. Compañía WestRock: El proveedor de soluciones diferenciadas de papel y embalaje sufrió un ataque de ransomware el 23 de enero de 2021, que interrumpió sus sistemas tecnológicos operativos y de TI. La compañía dijo que el impacto en las ventas netas y los ingresos del segmento por la pérdida de ventas y la interrupción operativa durante su segundo trimestre de 2021 fue de 189 millones de dólares y 80 millones de dólares, respectivamente. WestRock también dijo que incurrió en aproximadamente 20 millones de dólares de costos de recuperación de ransomware, principalmente honorarios profesionales. WestRock explicó que espera recuperar las pérdidas de ransomware de los seguros de interrupción de negocios y cibernéticos en períodos futuros.
4. Radiant Logistics: El 8 de diciembre de 2021, la empresa de logística y transporte multimodal sufrió un ataque de ransomware que afectó a sus sistemas operativos y de TI. Radiant dijo que el incidente resultó en una pérdida de ingresos y costos incrementales para diciembre, que se espera que afecten negativamente los resultados del segundo trimestre de la compañía para el año fiscal 2022.
La empresa señaló que se produjeron algunas extracciones de datos relacionados con sus clientes y empleados en los servidores de la empresa antes de que ésta desconectara sus sistemas. Se está comprometiendo de forma proactiva con aquellos que pueden haber sido afectados por estos eventos. Al detallar sus finanzas de todo el año 2021, Radiant dijo que incurrió en 750.000 dólares en costes de incidentes relacionados con el ransomware durante diciembre, incluyendo expertos forenses de terceros y otros gastos profesionales de TI, honorarios legales y gastos adicionales relacionados con las horas extras y los empleados.
5. Mineral Technologies: La empresa de tecnologías minerales sufrió un ataque de ransomware Egregor el 26 de octubre de 2020. Mineral dijo que incurrió en cuatro millones de dólares en gastos relacionados con la restauración del sistema y la mitigación de riesgos tras el ataque de ransomware para su año fiscal 2020.
6. Benchmark Electronics: La empresa de ingeniería electrónica informó inicialmente de un ataque de ransomware el 5 de noviembre de 2019, que interrumpió el acceso de clientes y empleados a sus sistemas y servicios. El incidente le obligó a incurrir en 7.681.000 dólares en costes relacionados con el incidente de ransomware durante su año fiscal 2019. A finales del año 2021, recuperó 3.989.000 dólares de esos costes, presumiblemente gracias a los reembolsos del seguro.
7. Faneuil: El proveedor de soluciones de externalización de procesos empresariales, una filial de ALJ Regional, detectó un ataque el 18 de agosto de 2021. Faneuil puso en marcha una investigación y contrató a un asesor jurídico y a otros profesionales de respuesta a incidentes, e implementó una serie de medidas de contención y remediación para hacer frente a esta situación y reforzar la seguridad de sus sistemas de tecnología de la información utilizando empresas líderes en ciberseguridad. Como resultado del incidente, Faneuil incurrió en gastos y penalizaciones de aproximadamente 2,8 millones de dólares. Faneuil reconoció una recuperación del seguro por valor de 1,9 millones de dólares, y recibió un total de 1,3 millones de dólares del seguro. Se espera que el resto de los ingresos del seguro se reciban antes del 31 de marzo de 2022.
La deuda técnica se ha corregido en el proceso de reparación del ransomware
Allan Liska, analista de inteligencia de Recorded Future, dice a CSO: "Hay un montón de gastos que entran en el proceso de recuperación en los que quizá no pensamos normalmente. Si no se paga el rescate, se restauran todas las máquinas. Hay gastos de respuesta a incidentes y todo lo que conlleva. Y se calcula que probablemente serán un par de millones de dólares". Pero, añadió, "hay un montón de gastos más allá de los que realmente se tienen en cuenta", incluyendo, como es el caso de Blackbaud, los importantes gastos legales.
Otro gasto significativo que se tiene en cuenta en la recuperación del ransomware es la deuda técnica que se fija en el proceso de remediación del ransomware, "proyectos que han estado sentados en el estante durante años y años que necesitan ser implementados", dice Liska. "Deberíamos haber implementado la autenticación multifactor hace dos años. Tras el ataque del ransomware, ahora podemos hacerlo. Se ha convertido en una práctica casi habitual que, tras un ataque de ransomware, se abran los presupuestos de seguridad, y ese dinero tiene que salir de algún sitio. No formaba parte del presupuesto de seguridad original. Así que, en cierto modo, se desplaza, y al final eso cuenta como un gasto por ransomware".
