En 2017, 26.2% de los objetivos del ransomware fueron usuarios empresariales, en comparación con 22.6% en 2016. Esto se debe en parte a tres ataques de ransomware sin precedentes que tuvieron como objetivo redes corporativas y cambiaron para siempre el panorama de esta amenaza cada vez más virulenta. Por esto, Kaspersky Lab ha denominado al ransomware como el principal acontecimiento en 2017.
El año 2017 será recordado como el momento en el que la amenaza del ransomware repentinamente evolucionó con agentes de amenazas avanzados dirigidos a empresas de todo el mundo por medio de una serie de ataques destructivos con gusanos y cuyo objetivo final sigue siendo un misterio. Estos ataques incluyeron WannaCry el 12 de mayo, ExPetr el 27 de junio y BadRabbit a fines de octubre. Todos estos ataques utilizaron exploits diseñados para afectar a las redes corporativas. Las empresas también fueron atacadas por otras clases de ransomware y, en total, Kaspersky Lab evitó infecciones de este tipo en más de 240,000 usuarios corporativos.
«Los principales ataques de 2017 son un ejemplo extremo del creciente interés de los criminales por los objetivos corporativos. Vimos esta tendencia en 2016, se ha acelerado a lo largo de 2017 y no muestra signos de desaceleración», dijo Fedor Sinitsyn, analista senior de malware en Kaspersky Lab. «Las víctimas comerciales son notablemente vulnerables, se les puede cobrar un rescate mayor que a los individuos y con frecuencia están dispuestas a pagar para mantener el negocio en funcionamiento. Los nuevos vectores de infección centrados en los negocios, como es el caso de los sistemas de escritorio remoto, también están en aumento”.
Otras tendencias del ransomware en 2017
- En general, poco menos de 950,000 usuarios únicos fueron atacados en 2017, en comparación con cerca de 1.5 millones en 2016, y la diferencia entre ellos es reflejo de la metodología de detección (por ejemplo, los medios a menudo relacionados con la descarga de cryptomalware ahora se detectan mejor con las tecnologías heurísticas y no se clasifican junto con los veredictos relacionados con el ransomware que recopila nuestra telemetría).
- Los tres principales ataques, así como otras familias menos notorias, entre ellas AES-NI y Uiwix, usaron exploits avanzados filtrados en línea durante la primavera de 2017 por un grupo conocido como Shadow Brokers.
- Hubo una disminución en cuanto a nuevas familias de ransomware (38 en 2017, frente a 62 en 2016), con un aumento equivalente en las modificaciones al ransomware existente (más de 96,000 nuevas modificaciones detectadas en 2017, en comparación con 54,000 en 2016). El aumento en las modificaciones puede ser reflejo de los intentos de los atacantes por confundir su ransomware a medida que las soluciones de seguridad se hacen mejores para detectarlos.
- A partir del segundo trimestre de 2017, varios grupos finalizaron sus actividades de ransomware y publicaron las claves necesarias para descifrar los archivos. Estos incluyen AES-NI, xdata, Petya/Mischa/GoldenEye y Crysis. Crysis reapareció más tarde, posiblemente resucitado por un grupo diferente.
- La tendencia creciente de compañías infectadas a través de sistemas de escritorio remoto continuó en 2017, cuando este enfoque se convirtió en uno de los principales métodos de propagación para varias familias diseminadas, como Crysis, Purgen / GlobeImposter y Cryakl.
- Aproximadamente 65% de las empresas que fueron afectadas por ransomware en 2017 dijo que perdieron acceso a una cantidad significativa de datos o incluso a todos sus datos; una de cada seis de las que pagaron nunca recuperó sus datos. Estas cifras coinciden en gran medida con las de 2016.
Para combatir la creciente amenaza, la iniciativa No More Ransom, presentada en julio de 2016, continúa prosperando. El proyecto reúne a los proveedores de seguridad y agentes de la ley para rastrear e interrumpir las actividades de las grandes familias de ransomware, además de ayudar a las personas a recuperar sus datos y socavar el lucrativo modelo comercial de los delincuentes.
Todos los productos de Kaspersky Lab protegen a los usuarios contra el ransomware. Los productos de la compañía también incluyen System Watcher, una tecnología que puede bloquear y revertir los cambios maliciosos realizados en un dispositivo, como el cifrado de archivos o el bloqueo del acceso al monitor. Además, está disponible una herramienta contra ransomware gratuita para todas las empresas, independientemente de la marca de software de seguridad que utilicen. Kaspersky Lab también publica regularmente descripciones de inteligencia contra amenazas del cambiante panorama del ransomware (se puede encontrar un ejemplo aquí).
El texto completo de la Historia del año 2017: la nueva amenaza del ransomware, está disponible aquí.