Este informe se basa en datos impersonales procesados por la red Kaspersky Security Network (KSN). Las métricas se basan en el número de usuarios individuales de productos de Kaspersky Lab con la característica KSN habilitada que se enfrentaron a casos de ransomware al menos una vez en un período determinado, así como en investigaciones de los expertos de Kaspersky Lab sobre el panorama del ransomware.
Este informe cubre la evolución de la amenaza entre abril de 2016 y marzo de 2017 y la compara con el período de abril de 2015 a marzo de 2016.
Un vistazo a la evolución del ransomware en un año
El aumento del ransomware como servicio
En mayo de 2016, Kaspersky Lab descubrió el programa ransomware Petya, que no sólo cifra los datos almacenados en el equipo, sino que también sobrescribe el registro de arranque principal (MBR) de la unidad del disco duro para que los equipos infectados no puedan arrancar el sistema operativo.
Este programa malicioso es un claro ejemplo del modelo de ransomware como servicio, que es cuando los creadores de ransomware ofrecen su producto a pedido, con la ayuda de múltiples distribuidores, para recibir un porcentaje de las ganancias. Para conseguir su comisión, los autores de Petya incluyeron en su programa algunos “mecanismos de protección” que evitan que se lo use sin autorización.
Si bien el ransomware como servicio no es una tendencia nueva, este modelo de propagación sigue evolucionando y cada vez hay más autores que ofrecen sus productos ‘a pedido’. Esta técnica ha demostrado ser de gran atractivo para cibercriminales que no tienen las capacidades, recursos o interés suficientes como para desarrollar sus propios programas.
Algunos ejemplos sobresalientes de este modelo de ransomware que aparecieron en 2016 son Petya/Mischa y Shark, que después fue rebautizado como Atom.
El crecimiento de los ataques selectivos
A principios de 2017, los investigadores de Kaspersky Lab descubrieron que surgía una nueva y peligrosa tendencia: cada vez más cibercriminales estaban dejando de lado los ataques contra usuarios privados para volcar su atención a los ataques ransomware selectivos, lanzados contra empresas específicas.
Los ataques tienen como principales víctimas a las organizaciones financieras distribuidas por todo el mundo. Los expertos de Kaspersky Lab han encontrado casos en los que las demandas de pago superan el medio millón de dólares.
La tendencia es alarmante: significa que los cibercriminales que se dedican al ransomware han comenzado su cruzada por víctimas nuevas y más rentables. Hay muchas víctimas potenciales de esta amenaza, y de ser atacadas las consecuencias serían todavía más catastróficas.
El análisis en este informe intenta evaluar la magnitud del problema y encontrar las posibles razones del surgimiento de estas nuevas formas de abordar el ransomware a nivel mundial.
Cifras importantes
- El número total de usuarios que lidiaron con ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores (abril 2015 a marzo 2016). Es decir, la cantidad de usuarios atacados en todo el mundo por ransomware aumentó de 2 315 931 a 2 581 026;
- La proporción de usuarios que sufrieron al menos un ataque de ransomware en relación al número total de usuarios que sufrieron ataques con programas maliciosos se redujo en casi un 0,8%: del 4,34% en 2015-2016 al 3,88% en 2016-2017.
- Entre aquellos usuarios que se cruzaron con ataques de ransomware, la cantidad de usuarios que fueron atacados por programas cifradores aumentó un 13,6%: del 31% en 2015-2016 al 44,6% en 2016-2017;
- La cantidad de usuarios atacados con cifradores casi se duplicó: pasó de 718 536 en 2015-2016 a 1 152 299 en 2016-2017.
- El número de usuarios atacados con ransomware para dispositivos móviles cayó un 4,62%: de 136 532 usuarios en 2015-2016 a 130 232 en 2016-2017.
Conclusiones y predicciones
Según a las estadísticas y tendencias descritas en este informe, hemos llegado a las siguientes conclusiones:
- Los cibercriminales que se dedican al ransomware están empezando a devorarse entre sí. Esto indica una mayor competencia entre bandas de ransomware.
- Las estadísticas geográficas muestran que los atacantes se están moviendo hacia países a los que antes no llegaban, donde los usuarios no están preparados para luchar contra el ransomware y la competencia entre criminales no es tan alta.
- Lo preocupante es que los ataques de ransomware son cada vez más selectivos, y afectan la infraestructura financiera en todo el mundo. La razón para ello es clara: los delincuentes consideran que los ataques de ransomware dirigidos contra empresas pueden ser más rentables que los ataques masivos contra usuarios privados.
- Los números muestran que el ransomware en las PCs siguen en aumento, aunque a un ritmo más lento.
- Por otra parte, el número de usuarios atacados con ransomware para móviles disminuyó en el período analizado. Esto podría indicar el éxito de las iniciativas de colaboración entre proveedores de soluciones de seguridad, autoridades y otras entidades. El aumento del conocimiento popular sobre las amenazas con la ayuda de los medios de comunicación que cubren las campañas de fraude más destacadas, también puede jugar un rol importante.
- Otra razón es el desarrollo de los esfuerzos conjuntos de la industria para proteger a los usuarios del ransomware de cifrado.
- Aunque las estadísticas muestran que los ataques con ransomware operan en una escala masiva, unos pocos grupos de malware son los responsables de la mayoría de los ataques móviles, y casi todos se propagan a través de programas de afiliados. Además, el ransomware para PCs tiene un estado opuesto: muchos atacantes lanzando ataques a medida.
Con estas conclusiones, creemos que el panorama actual de las amenazas de ransomware proporciona una buena base para varias predicciones sobre cómo esta amenaza evolucionará en el futuro.
Predicciones
- El modelo de extorsión se mantendrá firme Un crecimiento más estable, que en promedio está en un nivel más alto, podría indicar una tendencia alarmante: el paso de los intentos caóticos y esporádicos de ganar terreno en el panorama de amenazas, a los ataques consistentes con volúmenes más altos.
- Todo indica que también hay una mayor competencia en el mercado de ransomware, y el ransomware como servicio se está volviendo cada vez más popular, atrayendo a nuevos actores.
- El grado de complejidad y diversidad del ransomware está aumentando, y con esto ha comenzado a ofrecer muchas soluciones listas para usar para aquellos con menos habilidades, recursos o tiempo – mediante un creciente y cada vez más eficiente ecosistema clandestino.
- El desarrollo de una infraestructura de criminales para criminales está promoviendo la aparición de herramientas a medida y fáciles de usar para realizar ataques selectivos y extorsionar dinero, lo que ayuda a la difusión de los ataques. Esta tendencia ya está ocurriendo y probablemente continuará en el futuro.
- Las iniciativas globales que protegen a los usuarios del ransomware de cifrado seguirán ganando terreno.
Devolviendo los golpes
Mediante la tecnología: Kaspersky Lab ha puesto a disposición de todas las empresas una herramienta antiransomware gratuita para que la descarguen y usen, sin importar la solución de seguridad que tengan instalada.
Mediante las colaboraciones: La iniciativa No More Ransom. El 25 de julio de 2016, la policía holandesa, Europol, Intel Security y Kaspersky Lab anunciaron el lanzamiento del proyecto No More Ransom, una iniciativa sin fines de lucro que reúne a organizaciones privadas y públicas con el fin de informar al público sobre los peligros del ransomware y ayudar a las víctimas a recuperar sus datos. El portal online cuenta por ahora con 50 herramientas de descifrado, siete de las cuales fueron desarrolladas por Kaspersky Lab. Desde el lanzamiento de No More Ransom, más de 29 000 víctimas de todo el mundo han podido desbloquear sus archivos de forma gratuita gracias a las herramientas de Kaspersky Lab. El portal de No More Ransom está disponible en 14 idiomas: Inglés, holandés, francés, italiano y portugués, alemán, español, esloveno, finlandés, hebreo, ucraniano, coreano y japonés.
Informe KSN: Ransomware en 2016-2017