Los ataques de ransomware a negocios de todo tipo llegaron a 638 millones en 2016, lo que supone un incremento de 3,8 millones con respecto al año anterior según ha publicado la firma de análisis de seguridad SonicWall. En su informe anual de ciberamenazas, la empresa dijo que el auge del ransomware es algo que no se había visto hasta ahora, un “crecimiento meteórico”.
En el estudio podemos leer que en el primer trimestre de 2016 se llegaron a pagar 209 millones de dólares en concepto de rescates por parte de las empresas. Ahora bien, si el ransomware ya fue un problema preocupante durante 2016, la firma de seguridad confirma algo que ya se veía venir: vamos a tener un 2017 muy movido, el ransomware seguirá al alza, algo que parecen confirmar desde Kaspersky en el informe que presentaron en diciembre del año pasado.
Ya empezamos el año con noticias sobre un ransomware que envía currículums, así como otro que atacó el circuito cerrado de vídeo de la policía de Washington DC, y la tendencia no va a dejar de crecer durante este año que prácticamente acabamos de empezar.
Estas son las estadísticas de infección
El primer gran pico de infecciones por ransomware sucedió en marzo de 2016, cuando los intentos de ataque saltaron de 282.000 a 30 millones a lo largo del mes, con un total de 30,9 millones de infecciones en el primer trimestre del año. La tendencia siguió subiendo durante todo el año pasado, cerrándose con un total de 266,5 millones de ataques intentados.
Desde SonicWall se atribuye el auge del ransomware a la mayor facilidad de acceso a los mercados negros, a lo que hay que sumar el bajo coste de conducir una campaña de ransomware, lo fácil que es extenderla y el riesgo bajo de ser descubiertos al que se enfrentan los cibercriminales:
El auge del ransomware-as-a-service (RaaS) hizo que fuese más fácil obtener y desplegar ransomware. Los individuos que querían sacar provecho del ransomware no tenían por qué ser programadores expertos, sólo tenían que descargar y desplegar un kit de malware.
Por lo general, los proveedores de RaaS ofrecen su malware gratis, mientras que otros suelen cobrar unos 100 dólares como tarifa típica. Otro factor que ha influido ha sido la gran acepción del bitcon (especialmente en China), que ha hecho que los pagos sean más difíciles de rastrear.
Ahora comparemos los datos con los del desarrollador de software de seguridad. En el informe de Kaspersky se puede leer que si bien el RaaS no es algo nuevo, como modelo de propagación ha conseguido mucha popularidad. Uno de los ejemplos más notables es el de Petya, que se instalaba en el sector de arranque del disco duro de la máquina infectada.
Con respecto a lo barato que resulta usarlo, el informe del fabricante de antivirus advierte que los costes de uso iniciales pueden ser inferiores a 40 dólares. Por otra parte, en su documento revelan que los creadores del malware se llevan una comisión por cada semana de uso con éxito. Si por ejemplo se recaudan 125 bitcoins, los creadores de la campaña se quedarían con unos ingresos del 75% de esta cantidad, mientras que el 25% restante irían a parar al programador del virus.
Industrias y países más atacados
Los distintos sectores industriales fueron atacados casi por igual según SonicWall, con la industria mecánica y la ingeniería industrial llegando al 15% de los ataques, seguida por las farmacéuticas y los servicios financieros con un 13% y los servicios inmobiliarios llegando al 12%.
A nivel geográfico, las empresas que más probabilidades tenían de ser atacadas estaban situadas en Reino Unido y EE.UU., a pesar de que en Estados Unidos se produjo el mayor número de ataques en 2016. China, por otra parte, es el territorio menos afectado, probablemente debido a las restricciones al bitcoin y a Tor.
En cualquier caso, y según lo publicado por el desarrollador de antivirus, el bitcoin es una parte central de la economía del ransomware. Las familias más populares del ransomware siguen prefiriendo el pago en bitcoins frente a otros métodos, principalmente por el anonimato que ofrece.
Muchas de las víctimas eligieron no hacer públicos los ataques, si bien señalaron bastantes brechas que recibieron atención por parte de los criminales. A pesar de que se pagó el rescate, en algunos casos no se garantizaba el acceso a los datos. Sólo un 42% de las víctimas pudieron recuperarlos, según SonicWall.
Según el informe de Kaspersky, al menos uno de cada cinco negocios que pagaron el rescate no recuperaron sus datos. Y no estamos hablando de grandes empresas, sino de PYMES que no tienen un volumen de facturación ni de lejos tan abultado como aquellos que sí cotizan en bolsa, o que tienen presencia multinacional.
Locky, ¿el rey del ransomware?
El malware más popular en las campañas conducidas en 2016 fue Locky de forma indiscutible, utilizado en más de 500 millones de ataques a lo largo del año. Comparado con Petya, segundo clasificado que se usó en 32 millones de ataques, la distancia es bastante holgada.
La forma de infección más común usada por Locky era en un correo electrónico disfrazado de documento de Word, encubierto como una factura impagada por parte de un proveedor. Cuando se abre el archivo adjunto, el usuario recibía la orden de habilitar los macros, lo que desataba una reacción en cadena que llevaba al cifrado de los archivos del usuarios y de la petición de un rescate.
Locky evolucionó hasta convertirse en la amenaza más común en el mundo del ransomware durante 2016. A pesar de que las cosas se calmaron en Navidad, los expertos en seguridad informática han dicho que no muestra señales de desaparecer, sino que más bien seguirá siendo popular.
Comparando los datos con el informe de diciembre de Kaspersky, y teniendo en cuenta que los datos han sido obtenidos a partir de detecciones realizadas por sus propios productos, se coloca a Locky en segunda posición justo por detrás de CTB-Locker, con TeslaCrypt en tercera posición.
Fuente:https://www.genbeta.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad