Ransomware en 2016-2017

Kaspersky Lab informa la evolución del ransomware entre abril de 2016 y marzo de 2017. Así como la comparación con el período de abril de 2015 a marzo de 2016.

Este informe se basa en datos impersonales procesados por la red Kaspersky Security Network (KSN).

En mayo de 2016, Kaspersky Lab descubrió el programa ransomware Petya.

El cual, no solo cifra los datos almacenados en el equipo, también sobrescribe el registro de arranque maestro (MBR) de la unidad del disco duro. Para que los equipos infectados no puedan arrancar el sistema operativo.

Este programa malicioso es un claro ejemplo del modelo de ransomware como servicio (RaaS). Es cuando los creadores ofrecen su producto con la ayuda de múltiples distribuidores para recibir un porcentaje de las ganancias.

En el caso de Petya, incluyeron en su programa algunos “mecanismos de protección” que evitan que sea usado sin autorización.

Si bien el ransomware como servicio no es una tendencia nueva, este modelo de propagación sigue evolucionando. Cada vez, hay más autores que ofrecen sus productos.

Dicha técnica ha demostrado ser de gran atractivo para cibercriminales que no tienen las capacidades, recursos o interés suficientes como para desarrollar sus propios programas.

A principios de 2017, los investigadores de Kaspersky Lab descubrieron una nueva y peligrosa tendencia: cada vez más cibercriminales estaban dejando de lado los ataques contra usuarios privados para volcar su atención a los ataques ransomware selectivos. Lanzados contra empresas específicas.

Se han dado casos en los que las demandas de pago superan el medio millón de dólares.

La tendencia es alarmante, significa que los cibercriminales que se dedican al ransomware han comenzado su cruzada por víctimas nuevas y más rentables.

El análisis en este informe intenta evaluar la magnitud del problema y encontrar las posibles razones del surgimiento de estas nuevas formas de abordar el ransomware a nivel mundial.

• Los cibercriminales enfocados al ransomware están empezando a devorarse entre sí. Ya que existe una mayor competencia entre bandas.
• Las estadísticas geográficas muestran que los atacantes se están moviendo hacia países a los que antes no llegaban. Donde los usuarios no están preparados para luchar contra el ransomware y la competencia entre criminales no es tan alta.
• Lo preocupante es que los ataques son cada vez más selectivos y afectan la infraestructura financiera en todo el mundo. La razón para ello es clara: los delincuentes consideran que los ataques de ransomware dirigidos contra empresas pueden ser más rentables que los ataques masivos contra usuarios privados.
• Los números muestran que el ransomware en las PC sigue en aumento. Aunque a un ritmo más lento.
• El número de usuarios atacados con ransomware para móviles disminuyó en el período analizado. Esto podría indicar el éxito de las iniciativas de colaboración entre proveedores de soluciones de seguridad, autoridades y otras entidades. El aumento del conocimiento popular sobre las amenazas con la ayuda de los medios de comunicación que cubren las campañas de fraude, también puede jugar un rol importante.
• Aunque las estadísticas muestran que los ataques con ransomware operan en una escala masiva, unos pocos grupos de malware son los responsables de la mayoría de los ataques móviles. Casi todos se propagan a través de programas de afiliados. El ransomware para PC se cocloca en el extremo opuesto: muchos atacantes lanzando ataques a medida.

El panorama actual de las amenazas de ransomware proporciona una buena base para varias predicciones sobre cómo esta amenaza evolucionará en el futuro:

• El modelo de extorsión se mantendrá firme y en crecimiento. Lo que podría significar la tendencia alarmante de los intentos caóticos y esporádicos a los ataques consistentes con volúmenes más altos.
• Todo indica que el ransomware como servicio se está volviendo cada vez más popular, atrayendo nuevos actores.
• El grado de complejidad y diversidad del ransomware está aumentando. Con esto, ha comenzado a ofrecer muchas soluciones listas para usar para aquellos con menos habilidades, recursos o tiempo – mediante un creciente y cada vez más eficiente ecosistema clandestino.
• El desarrollo de una infraestructura de criminales para criminales está promoviendo la aparición de herramientas a medida y fáciles de usar para realizar ataques selectivos.
• Continuará la generación de iniciativas globales para la protección de los usuarios contra el ransomware. Tanto de las instituciones gubernamentales, como con la colaboración de las empresas dedicadas a la ciberseguridad.