Ransomware para PC en 2014-2016

Part 2. Informe KSN: Ransomware móvil en 2014-2016

No es un secreto que en los últimos años los programas ransomware se han convertido en un gran problema para la ciberseguridad. Su existencia está tan expandida que no sería equivocado considerarlos una epidemia. A pesar de que los medios de comunicación, los desarrolladores de soluciones de seguridad y los investigadores en seguridad independientes (¿regularmente?) publican sus hallazgos sobre infecciones y familias de ransomware, la escala de la epidemia no es evidente. La cantidad de usuarios que han sufrido ataques con programas ransomware es enorme, pero ¿cuán grande es? El ransomware parece ser una amenaza mundial, pero ¿ hay regiones expuestas a riesgos más altos? Al parecer existen muchos grupos dedicados a lanzar ataques con ransomware contra usuarios en todo el mundo, pero ¿cuáles son los más peligrosos y más expandidos?

Para encontrar las respuestas a estas y otras interrogantes es que hemos elaborado este informe de Kaspersky Security Network.

Este informe se basa en datos personalizados procesados por la red Kaspersky Security Network (KSN). Las mediciones básicas del informe son el número de usuarios distintos de los productos de Kaspersky Lab que tengan habilitada la función KSN y que hayan sido objeto de un ataque con ransomware al menos una vez en un determinado periodo. El término ransomware incluye principalmente dos tipos de programas maliciosos: los bloqueadores de pantalla (bloquean el sistema operativo o el navegador con una ventana emergente) y los programas crypto-ransomware, es decir, programas ransomware encriptadores.

El término también incluye a grupos selectos de troyanos descargadores, pero no sólo aquellos que tienden a descargar un encriptador tras la infección de una PC. Hoy en día, los programas encriptadores son ampliamente considerados como sinónimo de ransomware. Sin embargo, las estadísticas de Kaspersky Lab señalan que la cantidad de usuarios que regularmente reciben ataques de programas bloqueadores sigue siendo elevada.

Este informe sobre la evolución de las amenazas con ransomware cubre un periodo de dos años, el cual, por razones comparativas, se ha dividido en dos partes de 12 meses cada una: de abril de 2014 a marzo de 2015, y de abril de 2015 a marzo de 2016. Hemos escogido estos periodos particulares porque han sido testigos de varios cambios significativos en el escenario de las amenazas con ransomware.

Principales hallazgos

Al observar los grupos de programas maliciosos que se encontraban activos en el periodo que cubre este informe, vemos que la lista de sospechosos responsables de los problemas ocasionados por los encriptadores es más bien reducida. En el primer periodo, abril 2014 – marzo 2015, los encriptadores más activamente propagados eran los siguientes grupos: CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura, y Shade. Sólo ellos fueron responsables de 101.568 ataques a usuarios en todo el mundo, lo que representa el 77,48% de todos los usuarios atacados con encriptadores durante el periodo de referencia.

Un año después, la situación ha cambiado considerablemente. TeslaCrypt, junto a CTB-Locker, Scatter y Cryakl han sido los responsables del 79,21% de los ataques con algún encriptador.

Clasificación de los usuarios atacados con diferentes grupos de encriptadores en el periodo 2015-2016

La mayoría de los ataques con ransomware está dirigido contra los usuarios particulares: durante el primer periodo, el 93,2% de los usuarios atacados con ransomware eran usuarios de productos domésticos. Sin embargo, en el segundo periodo, la proporción de usuarios corporativos atacados con ransomware superó el doble, alcanzado el 13,13%, lo que significa un aumento de un 6%.

Respecto a los encriptadores, la situación es diferente: la proporción de usuarios corporativos atacados con encriptadores se mantuvo estable en un 20% (hubo un leve aumento al 22,07% en 2015-2016). Pero esta aparente estabilidad no se refleja en las cifras reales. El número de usuarios corporativos atacados con encriptadores se multiplicó casi seis veces (5,86 veces),

de 27.000 en 2014-2015 a 158.600 en 2015-2016, y los usuarios particulares sufrieron un aumento similar de ataques: hasta 5,37 veces.

Cifras y hechos:

• La cantidad total de usuarios que sufrieron ataques con ransomware en el periodo de 12 meses entre abril de 2015 y marzo de 2016 aumentó en un 17,7% en comparación al periodo abril 2014 – marzo 2015, de 1.967.784 a 2.315.931 usuarios en todo el mundo.
• La proporción de usuario que sufrieron al menos un ataque con ransomware en relación al número total de usuarios que sufrieron ataques con programas maliciosos aumentó en un 0,7%, del 3,63% en 2014-2015 al 4,34% en 2015-2016.
• La proporción de usuarios que sufrieron ataques con encriptadores, en relación al total de los usuarios que sufrieron ataques con ransomware, aumentó dramáticamente, hasta en un 25%, desde el 6,6% en 2014-2015 hasta el 31,6% en 2015-2016.
• La cantidad de usuarios atacados con encriptadores aumentó 5,5 veces, desde 131.111 en 2014-2015 hasta 718.536 en 2015-2016.
• El número de usuarios atacados con bloqueadores de pantalla disminuyó en un 13,03%, de 1.836.673 en 2014-2015 a 1.597.395 en 2015-2016.

Para conocer más sobre la evolución de la amenaza ransomware, acceda al informe completo aquí.