- Ransomware devastó Windows, pero los ataques a los sistemas Android, Linux y MacOS también aumentaron en 2017
- Solo dos cepas de ransomware fueron responsables del 89,5 por ciento de todos los ataques interceptados en las computadoras de los clientes de Sophos en todo el mundo.
Sophos (LSE: SOPH), líder mundial en seguridad de redes y endpoints, anunció SophosLabs 2018 Malware Forecast, un informe que recapitula el ransomware y otras tendencias de seguridad cibernética basado en datos de computadoras de clientes de Sophos de todo el mundo entre el 1° de abril y el 3 de octubre de 2017. Un hallazgo clave muestra que, aunque el ransomware predominantemente atacó a los sistemas Windows en los últimos seis meses, las plataformas Android, Linux y MacOS no eran inmunes.
«El ransomware se ha vuelto agnóstico a plataformas. Se dirige principalmente a computadoras con Windows, pero este año SophosLabs vio una mayor cantidad de ataques criptográficos en diferentes dispositivos y sistemas operativos utilizados por nuestros clientes en todo el mundo», dijo Dorka Palotay, investigador de seguridad de SophosLabs y colaborador del análisis de ransomware en el SophosLabs 2018 Malware Forecast.
El informe también rastrea los patrones de crecimiento de ransomware, indicando que WannaCry, lanzado en mayo de 2017, fue el ransomware número uno interceptado de las computadoras de los clientes, destronando al antiguo líder Cerber, que apareció por primera vez a principios de 2016. WannaCry representó el 45.3 por ciento de todo el ransomware rastreado a través de SophosLabs con Cerber representando el 44.2 por ciento.
«Por primera vez vimos ransomware con características de gusano, lo que contribuyó a la rápida expansión de WannaCry. Este ransomware aprovechó una vulnerabilidad conocida de Windows para infectar y propagarse a las computadoras, lo que dificulta el control», dijo Palotay. «A pesar de que nuestros clientes están protegidos contra él y WannaCry se ha reducido, todavía vemos la amenaza debido a su naturaleza inherente para seguir escaneando y atacando computadoras. Es de esperar que los ciberdelincuentes aprovechen esta capacidad de replicar vista en WannaCry y NotPetya, y esto ya es evidente con Bad Rabbit ransomware, que muestra muchas similitudes con NotPetya».
El SophosLabs 2018 Malware Forecast informa sobre el aumento y la caída aguda de NotPetya, ransomware que causó estragos en junio de 2017. NotPetya se distribuyó inicialmente a través de un paquete de software de contabilidad ucraniano, lo que limita su impacto geográfico. Se pudo propagar a través del exploit EternalBlue, al igual que WannaCry, pero debido a que WannaCry ya había infectado a la mayoría de las máquinas expuestas, quedaban pocas sin parchear y vulnerables. El motivo detrás de NotPetya aún no está claro porque hubo muchos errores, grietas y fallas en este ataque. Por ejemplo, la cuenta de correo electrónico que las víctimas necesitaban para contactar a los atacantes no funcionó y las víctimas no pudieron descifrar y recuperar sus datos, según Palotay.
«NotPetya se disparó rápida y furiosamente y perjudicó a las empresas porque destruyó permanentemente los datos en las computadoras que golpeó. Afortunadamente, NotPetya se detuvo casi tan rápido como comenzó», dijo Palotay. «Sospechamos que los ciberdelincuentes estaban experimentando o su objetivo no era el ransomware, sino algo más destructivo como un limpiador de datos. Independientemente de la intención, Sophos aconseja encarecidamente no pagar el ransomware y recomienda las mejores prácticas en su lugar, incluida la copia de seguridad de los datos y el mantenimiento de los parches actualizados».
Cerber, que se vende como un kit de ransomware en Dark Web, sigue siendo una amenaza peligrosa. Los creadores de Cerber actualizan continuamente el código y cobran un porcentaje del rescate que los atacantes «intermediarios» reciben de las víctimas. Las nuevas características regulares hacen que Cerber no solo sea una herramienta de ataque efectiva, sino que esté siempre disponible para los delincuentes cibernéticos. «Desafortunadamente, este modelo de negocio de Dark Web está funcionando y es probable que una compañía legítima financie el desarrollo continuo de Cerber. Podemos asumir que las ganancias están motivando a los autores a mantener el código», dijo Palotay.
El ransomware de Android también atrae a ciberdelincuentes. Según el análisis de SophosLabs, la cantidad de ataques a clientes de Sophos que usan dispositivos Android aumentó casi todos los meses en 2017.
«Solo en septiembre, el 30,4 por ciento del malware malicioso de Android procesado por SophosLabs era ransomware. Estamos esperando que esto salte aproximadamente al 45 por ciento en octubre», dijo Rowland Yu, investigador de seguridad de SophosLabs y colaborador del SophosLabs 2018 Malware Forecast. «Una de las razones por las que creemos que el ransomware en Android está despegando es porque es una forma fácil para que los ciberdelincuentes ganen dinero en lugar de robar contactos y SMS, anuncios emergentes o phishing bancario que requieren sofisticadas técnicas de piratería. Es importante tener en cuenta que el ransomware de Android se descubre principalmente en mercados que no son de Google Play, otra razón para que los usuarios sean muy cautelosos sobre dónde y qué tipo de aplicaciones descargan».
El informe de SophosLabs indica que surgieron dos tipos de métodos de ataque de Android: bloquear el teléfono sin cifrar datos y bloquear el teléfono al cifrar los datos. La mayoría de ransomware en Android no encripta datos de usuario, pero el solo hecho de bloquear una pantalla a cambio de dinero es suficiente para causar dolor a las personas, especialmente considerando cuántas veces en un solo día se accede a la información en un dispositivo personal. «Sophos recomienda hacer una copia de seguridad de los teléfonos en un horario regular, similar a una computadora, para preservar los datos y evitar pagar un rescate solo para recuperar el acceso. Esperamos que ransomware para Android continúe aumentando y dominando como el tipo principal de malware en esta plataforma móvil en el próximo año», dijo Yu.