Kaspersky ha estado siguiendo el panorama del ransomware durante años. En el pasado, hemos publicado informes anuales sobre el tema: ransomware de PC en 2014-2016 , ransomware en 2016-2017 y ransomware y cripto mineros maliciosos en 2016-2018 . De hecho, en 2019, elegimos el ransomware como la historia del año , al notar que la conocida amenaza estaba cambiando su atención hacia los municipios. En la década de 2010, con campañas como WannaCry y NotPetya, el ransomware se convirtió en la principal noticia. Sin embargo, a partir de 2018, comenzamos a notar algo más: las estadísticas para el número total de detecciones de ransomware estaban en un fuerte descenso. ¿Que estaba pasando? ¿Era el ransomware, de hecho, una especie de malware en vías de extinción?
Para cualquiera que esté siguiendo las noticias en la comunidad de seguridad de la información, esto parecía poco probable. En 2019 y 2020, las historias de ataques de ransomware aparecieron en los titulares de primera plana, desde Maze atacando a LG hasta el infame grupo APT Lazarus que agregó ransomware a su arsenal. Solo en los Estados Unidos en 2020, el ransomware afectó a más de 2,300 entidades gubernamentales, centros de salud y escuelas, según la compañía de seguridad Emsisoft .
Entonces, ¿cuál es la historia?
El ransomware no ha desaparecido; la amenaza acaba de sufrir un cambio fundamental. Las campañas de ransomware generalizadas han sido reemplazadas por ataques destructivos altamente dirigidos , a menudo dirigidos a grandes organizaciones. Además, los atacantes parecen estar más centrados en exfiltrar datos y en cifrarlos, es decir, desviar información confidencial y amenazar con hacerla pública si las víctimas se niegan a pagar. Todo esto se hace con el objetivo de lanzar menos ataques, cada uno con un pago mucho mayor, en lugar de recolectar cantidades más pequeñas de una gran cantidad de víctimas.
En este informe, analizaremos los números detrás de la amenaza de ransomware de 2019 a 2020, lo que significan y lo que predicen sobre el futuro del ransomware.
Resultados clave
- En 2020, la cantidad de usuarios únicos que encontraron ransomware en sus dispositivos fue de 1,091,454 , una disminución de 1,537,465 en 2019.
- En 2019, la proporción de usuarios atacados con ransomware entre el número total de usuarios que encontraron malware fue del 3,31%; esto se redujo ligeramente en 2020 al 2,67%.
- La proporción de detecciones de ransomware entre el número total de detecciones de malware fue del 1,49% en 2019 y del 1,08% en 2020.
- Tanto en 2019 como en 2020, WannaCry fue la familia de ransomware de cifrado más frecuente en los sistemas Windows.
- En 2019, la cantidad de usuarios únicos que encontraron ransomware en sus dispositivos móviles fue de 72,258. Este número se redujo a 33,502 en 2020.
- Sin embargo, la proporción de usuarios únicos que encontraron ransomware en sus dispositivos móviles entre el número total de usuarios que encontraron malware se mantuvo estable entre 2019 y 2020 en 0.56%.
- De 2019 a 2020, la cantidad de usuarios únicos afectados por familias de ransomware específicas aumentó en un 767%.
- Con mucho, la industria que contenía la mayor parte de los ataques de ransomware dirigidos fue la ingeniería y la fabricación, con un 25,63%.
Metodología
Este informe se ha elaborado utilizando datos despersonalizados procesados por Kaspersky Security Network (KSN).
Se utilizan dos métricas principales. El primero, usuarios únicos, se refiere a la cantidad de usuarios distintos de los productos Kaspersky con la función KSN habilitada que encontraron ransomware al menos una vez en un período determinado. El segundo son las detecciones, que es la cantidad de ataques de ransomware bloqueados por los productos de Kaspersky durante un período determinado.
El informe también incluye investigaciones sobre el panorama de amenazas realizadas por expertos de Kaspersky.
Los productos de Kaspersky detectan varios tipos de ransomware. Estos incluyen cripto-ransomware (malware que encripta sus archivos), bloqueadores de pantalla, bloqueadores de navegador y bloqueadores de arranque. A menos que se indique lo contrario, las estadísticas se refieren a cualquier tipo de ransomware.
Ransomware en todas las plataformas
Como ha señalado Kaspersky anteriormente, la cantidad total de detecciones de ransomware ha ido disminuyendo constantemente desde 2017. Esta es una tendencia que ha continuado durante 2019 y 2020.
En 2019, el número total de usuarios únicos que encontraron ransomware en todas las plataformas fue de 1.537.465 . En 2020, ese número se redujo a 1.091.454, una disminución del 29%.
Comparación lado a lado del número de usuarios únicos de KSN que encontraron ransomware en sus dispositivos, 2019-2020 ( descargar )
De hecho, para cada mes de 2020, la cantidad de usuarios únicos que encontraron ransomware en todos los dispositivos fue menor que la cantidad observada durante el mismo mes del año anterior. En ambos años, la cantidad de usuarios que encontraron ransomware fue relativamente estable, oscilando entre 100,000 y 170,000 en 2020 y entre 150,000 y 190,000 en 2019, con la excepción de julio de 2019, cuando hubo un aumento notable. Esto fue impulsado por un aumento en dos familias de ransomware. El primero, Bluff, es un casillero del navegador, lo que significa que las víctimas se enfrentan a una pestaña falsa, una de la que no pueden salir, que amenaza con consecuencias nefastas si no se paga una determinada cantidad de dinero. El otro fue Rakhni, un cripto-ransomware que apareció por primera vez en 2013 y se distribuyó principalmente a través de spam con archivos adjuntos maliciosos.
La proporción de usuarios únicos que encontraron ransomware del número total que encontró cualquier tipo de malware en sus dispositivos también disminuyó, del 3.31% en 2019 al 2.67% en 2020 . Sin embargo, la proporción de detecciones de ransomware del número total de detecciones de malware se mantuvo relativamente estable, disminuyendo solo ligeramente de 2019 a 2020, del 1,49% al 1,08% .
Las familias de cripto-ransomware más activas
Tres años después de que apareciera por primera vez en los titulares de todo el mundo, WannaCry sigue siendo la familia de cripto-ransomware más activa. Hasta la fecha, WannaCry es la infección de ransomware más grande de la historia, con daños por un total de al menos $ 4 mil millones en 150 países. En 2019, el 21,85% de los usuarios que encontraron cripto-ransomware encontraron WannaCry.
Las cinco familias principales de cripto-ransomware, 2019 ( descargar )
Entre otras familias activas se encontraba GandCrab, una familia de ransomware que estuvo activa en 2019 y siguió el modelo RaaS , STOP / DJVU y PolyRansom / VirLock. Shade, un criptor generalizado que apareció por primera vez en 2014, seguía siendo una de las familias de ransomware más activas en 2019, pero su actividad ha estado en declive durante años. De hecho, en 2020, Kaspersky lanzó un descifrador para todas las cepas de Shade , y ya no era una de las cinco familias de ransomware más activas detectadas por los productos de Kaspersky.
Las cinco familias principales de cripto-ransomware, 2020 ( descargar )
En 2020, WannaCry seguía siendo la familia más encontrada, con un 16% de los usuarios (80,207) que encontraron cripto-ransomware y se encontraron con este malware. Además, una nueva cepa entró en las cinco familias más activas: Crysis / Dharma. Crysis puede utilizar múltiples vectores de ataque, aunque recientemente ha explotado principalmente el acceso RDP no seguro. Descubierto por primera vez en 2016, el malware ha seguido evolucionando y ahora sigue el modelo de ransomware como servicio.
En general, 2019 y 2020 continuaron una tendencia notada por primera vez a principios de 2018: la consolidación de grupos de ransomware. Solo unas pocas familias notables continúan manteniendo una presencia significativa en el panorama de amenazas, y el resto de los ataques son realizados por troyanos de ransomware que no pertenecen a ninguna familia específica. Por supuesto, siguen apareciendo nuevas familias, con STOP y GandCrab como excelentes ejemplos.
Geografía de los ataques de ransomware
Al analizar la geografía de los usuarios atacados, tenemos en cuenta la distribución de los clientes de Kaspersky. Es por eso que, al examinar la geografía de los ataques, usamos el porcentaje de usuarios atacados con ransomware como una proporción de usuarios atacados con cualquier tipo de malware en aquellas regiones donde hay más de 10,000 usuarios únicos de productos Kaspersky.
Todos los porcentajes reflejan el porcentaje de usuarios únicos que encontraron ransomware al menos una vez en cualquier dispositivo del número total de usuarios únicos que encontraron cualquier tipo de malware durante el período indicado.
Oriente Medio
En 2019, los países con la mayor proporción de usuarios que encontraron ransomware en cualquier dispositivo en el Medio Oriente fueron los siguientes:
País | % * |
Pakistán | 19,03% |
Palestina | 6,74% |
Yemen | 6,55% |
Egipto | 6,41% |
Irak | 6,28% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Pakistán tuvo, con mucho, la mayor proporción de usuarios que encontraron ransomware: 19,03%. Los otros países entre los cinco primeros tenían una participación de aproximadamente el 6% de los usuarios que encontraron ransomware.
En 2020, los cinco países con la mayor proporción de usuarios que encontraron ransomware siguieron siendo los mismos con algunos pequeños ajustes.
País | % * |
Pakistán | 14,88% |
Yemen | 7,49% |
Egipto | 6,45% |
Palestina | 5,48% |
Irak | 5,37% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Pakistán todavía tenía la mayor proporción de usuarios, pero el porcentaje general se redujo al 14,88%. El porcentaje de usuarios que encontraron ransomware en Yemen en realidad aumentó al 7,49%, mientras que el porcentaje de usuarios en Palestina e Irak disminuyó, y la proporción de egipcios afectados se mantuvo prácticamente igual.
norte y sur America
En 2019, los países de América del Norte y del Sur con el mayor porcentaje de usuarios que encontraron ransomware fueron los siguientes:
País | % * |
Estados Unidos | 5,49% |
Paraguay | 4,87% |
Venezuela | 3,34% |
Canadá | 3,25% |
Guatemala | 2,81% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Estados Unidos tuvo la mayor participación con un 5,49%, seguido de Paraguay con un 4,87%. Completando los países con la mayor proporción de usuarios que encontraron ransomware se encontraban Venezuela, Canadá y Guatemala.
En 2020, los países con la mayor participación en América del Norte y del Sur eran en su mayoría los mismos, aunque con un porcentaje menor de usuarios que encontraron ransomware.
País | % * |
Estados Unidos | 2,97% |
Venezuela | 2,49% |
Canadá | 2,46% |
Paraguay | 2,44% |
Uruguay | 2,37% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
El año pasado, Venezuela tuvo la segunda mayor proporción de usuarios que encontraron ransomware, y Paraguay cayó al cuarto lugar. Además, Guatemala fue reemplazada por Uruguay.
África
En 2019, los países de África con el mayor porcentaje de usuarios que encontraron ransomware fueron los siguientes:
País | % * |
Mozambique | 12,02% |
Etiopía | 8,57% |
Ghana | 5,75% |
Angola | 3,32% |
Libia | 3,28% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Mozambique tuvo la mayor proporción de usuarios con un 12,02%, seguido de Etiopía con un 8,57%. Los países restantes con el mayor porcentaje de usuarios que encontraron ransomware fueron Ghana, Angola y Libia.
En 2020, el panorama cambió un poco:
País | % * |
Camerún | 6,83% |
Mali | 5,85% |
Mozambique | 5,62% |
Etiopía | 5,39% |
Ghana | 3,85% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
El país con la mayor proporción de usuarios que encontraron ransomware fue Camerún, seguido de Malí. Mozambique, Etiopía y Ghana se mantuvieron entre los cinco primeros, pero la proporción de usuarios que enfrentan ransomware disminuyó en los tres.
Asia
En Asia en 2019, los cinco países con el mayor porcentaje de usuarios que encontraron ransomware fueron los siguientes:
País | % * |
Afganistán | 26,44% |
Bangladesh | 23,14% |
Turkmenistán | 11,28% |
Uzbekistan | 10,53% |
Tayikistán | 8,08% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Afganistán tuvo la mayor proporción de usuarios con un 26,44%, seguido de Bangladesh con un 23,14%. Los siguientes tres países con la mayor proporción de usuarios se concentraron en Asia Central: Turkmenistán, Uzbekistán y Tayikistán.
En 2020, el panorama cambió ligeramente:
País | % * |
Afganistán | 17,67% |
Bangladesh | 11,31% |
Turkmenistán | 9,52% |
Tayikistán | 5,26% |
Kirguistán | 4,05% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Uzbekistán dejó la clasificación de países con la mayor proporción de usuarios que encontraron ransomware, dando paso a Kirguistán (4,05%), y los porcentajes de todos los demás fueron significativamente más bajos que en 2019. La proporción de usuarios de Afganistán disminuyó al 17,67% y la de Bangladesh al 11,31. %.
Europa
En Europa, los países con el mayor porcentaje de usuarios que encontraron ransomware fueron los siguientes:
País | % * |
Azerbaiyán | 5,03% |
pavo | 3,03% |
Chipre | 2,82% |
Francia | 2,74% |
Armenia | 2,54% |
Bulgaria | 2,54% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Azerbaiyán tuvo la mayor participación con un 5,03%, seguido de Turquía y Chipre. Completando los seis países con el mayor porcentaje de usuarios que encontraron ransomware se encontraban Francia, Armenia y Bulgaria, los dos últimos con la misma proporción de usuarios afectados.
En 2020, el panorama se veía un poco diferente:
País | % * |
Francia | 5,18% |
Montenegro | 4,36% |
Mónaco | 4,22% |
Azerbaiyán | 4,21% |
macedonia | 4,06% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware en el país
Francia tuvo la mayor proporción de usuarios que encontraron ransomware, seguida de Montenegro y Mónaco, que reemplazaron a Turquía y Chipre. Azerbaiyán tuvo la cuarta mayor participación con 4.21%, y Macedonia ocupó el lugar de Armenia como el país con la quinta mayor participación.
Ransomware móvil
Como es el caso del ransomware en todos los dispositivos, el ransomware móvil sigue disminuyendo. En 2019, el número total de usuarios únicos de Kaspersky que encontraron ransomware fue 72,258. En 2020, fue de 33,502, una disminución del 54%.
Sin embargo, la proporción de usuarios móviles que encontraron ransomware del número total que encontró cualquier tipo de malware se mantuvo estable en 0.56%. Esto coincidió con una disminución en el número total de detecciones de ransomware móvil, de 333.878 en 2019 a 290.372 en 2020.
Número de detecciones de ransomware móvil de 2019 a 2020 ( descargar )
Curiosamente, mientras que la cantidad de detecciones de ransomware móvil disminuyó de manera relativamente constante después de julio de 2019 con solo algunos pequeños picos en julio de 2019 y febrero de 2020, nuevamente comenzó a aumentar significativamente en la segunda mitad de 2020, alcanzando las 35,000 detecciones en septiembre del año pasado. . Esto se debió, curiosamente, al codificador de ransomware, que en realidad está diseñado para estaciones de trabajo con Windows y no es peligroso para dispositivos móviles. Sin embargo, en septiembre de 2020, Encoder se difundió a través de Telegram, que tiene una aplicación móvil y de escritorio. Lo más probable es que los atacantes apuntasen a los usuarios de Windows, y los usuarios móviles terminaron accidentalmente con Encoder en sus teléfonos cuando la versión móvil de Telegram sincronizó las descargas con el cliente de escritorio.
Familias de ransomware móvil más activas
Distribución de las familias de ransomware móvil más activas, 2019 ( descargar )
En 2019, casi el 45% de los usuarios que encontraron ransomware móvil encontraron Svpeng , la familia que comenzó como troyanos SMS, luego pasó a robar credenciales bancarias y datos de tarjetas de crédito, y finalmente evolucionó hacia ransomware . Algo menos del 20% de los usuarios encontraron Rkor y Small. Rkor es un casillero clásico para pedir rescate. Distribuido a través de pornografía, utiliza servicios de accesibilidad para obtener el control necesario sobre un dispositivo y luego lo bloquea hasta que se paga una tarifa. Lo pequeño es muy parecido: bloquea la pantalla y exige una tarifa para seguir viendo porno.
La cuarta familia más común es Congur, que se distribuye a través de una aplicación modificada, como WhatsApp. Otra familia activa muy conocida es Fusob, que afirma ser de algún tipo de autoridad y dice que la víctima prevista está obligada a pagar una multa.
Distribución de las familias de ransomware móvil más activas, 2020 ( descargar )
En 2020, Small fue la familia de ransomware móvil más frecuente con un 28,38%, seguida de Rkor y Congur. Svpeng fue la cuarta familia más común, con un 15,59% de usuarios que la encontraron.
Geografía de los usuarios atacados
En 2019, los países con el mayor porcentaje de usuarios que encontraron ransomware en sus dispositivos móviles fueron los siguientes:
País | % * |
Estados Unidos | 33,19% |
Kazajstán | 13,24% |
Canadá | 2,71% |
Alemania | 2,27% |
Italia | 2,19% |
Reino Unido | 1,53% |
Iran | 1,41% |
Polonia | 1,22% |
México | 1,09% |
España | 1,00% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware
Los países con la mayor cantidad de usuarios que encontraron ransomware móvil estaban relativamente dispersos a nivel mundial, y Estados Unidos tenía el porcentaje más alto. Kazajstán le siguió con un 13,24%. El resto de los diez primeros tuvo porcentajes significativamente más pequeños de usuarios que encontraron ransomware móvil, con Canadá, el país con la tercera participación más grande, con solo el 2.71%.
En 2020, los países con el mayor porcentaje de usuarios que encontraron ransomware móvil fueron los siguientes:
País | % * |
Kazajstán | 23,80% |
Estados Unidos | 10,32% |
Alemania | 2,54% |
Egipto | 1,46% |
México | 1,43% |
Italia | 1,41% |
Reino Unido | 1,14% |
Iran | 1,07% |
Malasia | 1,02% |
Indonesia | 1,01% |
* Proporción de usuarios atacados con ransomware de todos los usuarios que encuentran malware
En 2020, Kazajstán tuvo el mayor porcentaje de usuarios que encontraron ransomware móvil con un 23,80%, seguido de Estados Unidos con un 10,32%. Polonia, España y Canadá fueron reemplazados por Malasia, Indonesia y Egipto. En general, el porcentaje de usuarios afectados disminuyó; esto es de esperar dado que el número total de usuarios afectados por el ransomware móvil disminuyó en más del 50%.
El auge del ransomware dirigido
Si bien el total bruto de detecciones de ransomware ha disminuido, esas cifras solo cuentan una parte de la historia. Cuando el ransomware apareció por primera vez en los titulares de las portadas, fue por campañas como WannaCry, Petya y CryptoLocker : campañas masivas interesadas en llegar a la mayor cantidad de usuarios posible y extorsionar cantidades relativamente pequeñas por usuario. En WannaCry, por ejemplo, los atacantes solo solicitaron $ 300 y luego elevaron esta cantidad a $ 600.
Sin embargo, este tipo de campañas son cada vez menos rentables, potencialmente por varias razones. Dada la creciente atención que se presta al ransomware, es posible que el software de seguridad haya mejorado su capacidad para bloquear las amenazas de ransomware y, en repetidas ocasiones, se anima a las personas a que no paguen. Además, en muchos países, la gente simplemente no puede pagar un rescate tan alto. Como resultado, los atacantes han cambiado su enfoque hacia aquellos que pueden pagar: las empresas. En 2019 , casi un tercio de las víctimas atacadas por ransomware eran usuarios corporativos.
Por supuesto, infectar empresas requiere un enfoque mucho más sofisticado y dirigido, y existen familias de ransomware específicas diseñadas para hacer precisamente eso.
El ransomware dirigido (también conocido como "caza mayor") consiste en familias de ransomware que se utilizan para extorsionar a una víctima en particular. Estas víctimas tienden a ser de alto perfil, como grandes corporaciones, agencias gubernamentales y municipales y organizaciones de atención médica, y el rescate exigido es mucho mayor que el exigido a usuarios separados. A menudo, sus ataques involucran una o más de las siguientes etapas:
- Compromiso de la red
- Reconocimiento y persistencia
- Movimiento lateral
- Exfiltración de datos
- Cifrado de datos
- Extorsión
La infección inicial a menudo ocurre mediante la explotación de software del lado del servidor (VPN, Citrix, WebLogic, Tomcat, Exchange, etc.), ataques de fuerza bruta RDP / relleno de credenciales, ataques a la cadena de suministro o redes de bots.
Kaspersky clasifica un grupo de ransomware en particular como "dirigido" según las víctimas elegidas y si se utilizan métodos sofisticados para llevar a cabo el ataque, como la violación de la red o el movimiento lateral. Hasta ahora, Kaspersky ha identificado a 28 de estas familias objetivo, que incluye el infame ransomware Hades que apunta a empresas con un valor de al menos $ 1 mil millones.
De 2019 a 2020, el número de usuarios únicos afectados por ransomware dirigido, ransomware diseñado para afectar a usuarios específicos, aumentó de 985 a 8.538, un aumento del 767%.
El número de usuarios únicos de Kaspersky afectados por ransomware dirigido, 2019-2020 ( descargar )
En julio de 2020 se produjo un aumento importante, impulsado por la familia de ransomware REvil, que explotó con éxito a la empresa de cambio de divisas Travelex por 2,3 millones de dólares. Grubman Shire Meiselas & Sacks, un bufete de abogados con sede en Nueva York con una gran cantidad de clientes famosos, también fue víctima de REvil en mayo. Otras familias de ransomware altamente específicas también aparecieron en 2019 y 2020, la más notable de las cuales fue Maze. Apareciendo por primera vez en 2019, Maze utilizó varios mecanismos para el compromiso inicial. En ciertos casos, utilizaron campañas de spear-phishing para instalar Cobalt Strike RAT, mientras que otros ataques involucraron la explotación de un servicio vulnerable de Internet (por ejemplo, Citrix ADC / NetScaler o Pulse Secure VPN) o credenciales RDP débiles para violar la red. Maze se dirigió principalmente a empresas y grandes organizaciones. Algunos de sus ataques más notables fueron contra LG y la ciudad de Pensacola, Florida.
Paralelamente a este aumento en el ransomware dirigido, ha habido un mayor enfoque no solo en el cifrado de datos sino en la exfiltración de datos: buscar información altamente confidencial y amenazar con hacerla pública si no se cumple el rescate como un medio para obligar a las organizaciones a pagar. Maze fue uno de los primeros grupos de ransomware en publicar estos datos robados si no se pagaba el rescate. Además, esta información podrá posteriormente venderse online en subastas, que es lo que sucedió con las bases de datos de varias empresas agrícolas que habían sido víctimas de REvil en el verano de 2020.
Finalmente, Maze se asoció con otra familia de ransomware muy conocida y altamente dirigida, RagnarLocker, que apareció por primera vez en 2020. Al igual que Maze, RagnarLocker se dirige principalmente a organizaciones grandes y publica la información confidencial de aquellos que se niegan a pagar en el "Muro de la Vergüenza". " Esta familia está tan dirigida que cada muestra de malware individual se adapta específicamente a la organización que está atacando.
WastedLocker también apareció en 2020 y fue noticia mundial cuando eliminó los servicios más populares de Garmin, la conocida compañía de tecnología GPS y fitness, fuera de línea durante tres días, ya que retuvo los datos de la compañía por un rescate de $ 10 millones. El malware utilizado en el ataque fue diseñado específicamente para Garmin.
El ransomware dirigido no se limita a una industria específica. Ha afectado a todo, desde organizaciones sanitarias hasta empresas deportivas y de fitness.
Distribución de ataques de ransomware dirigidos por industria, 2019-2020 ( descargar )
La ingeniería y la fabricación fue la industria más representada con diferencia, con un 25,63% de los ataques de ransomware dirigidos de 2019 a 2020 que afectaron a esta industria. Esto no es sorprendente dada la naturaleza altamente sensible de sus datos y el valor a menudo alto de tales empresas. También es increíblemente perjudicial para las empresas de este sector si sus sistemas se desconectan. El 7,60% de los ataques de ransomware dirigidos afectaron a empresas de servicios profesionales y al consumidor, y el 7,09% a empresas financieras. Otros objetivos populares son la construcción y los bienes raíces, el comercio y la venta minorista, y las tecnologías de la información y las telecomunicaciones.
Conclusión
El mundo está entrando en una nueva era de ransomware, y es probable que cualquier tipo de campaña a gran escala, del tipo que se dirige a los usuarios promedio y cotidianos, sea escasa. Por supuesto, eso no quiere decir que el ransomware sea solo una amenaza si eres una gran empresa. Solo en diciembre del año pasado, hubo un grupo que buscaba capitalizar el lanzamiento de Cyberpunk 2077 distribuyendo una versión móvil falsa del juego que encripta los archivos de los usuarios una vez descargados.
Dicho esto, ha habido un cambio inconfundible en el panorama, uno destinado a extorsionar información confidencial y recuperar grandes sumas de dinero al apuntar solo a una o tal vez una docena de organizaciones. Eso significa que los atacantes de ransomware continuarán implementando técnicas más avanzadas para infiltrarse en redes y cifrar datos. Grupos de APT como Lazarus ya han comenzado a agregar ransomware a su conjunto de herramientas. No sería sorprendente que otros actores de amenazas avanzadas siguieran su ejemplo.
La principal conclusión de esto es que las empresas, grandes y pequeñas, deben pensar en algo más que en realizar copias de seguridad de sus datos. Deben adoptar un enfoque integral para su seguridad, uno que incluya parches regulares, actualizaciones de software y capacitación en concientización sobre seguridad cibernética. Algunos de estos ataques contra empresas implican ganar un punto de apoyo inicial en el sistema, moverse lateralmente a través de la red hasta lograr el control total y luego realizar un reconocimiento durante meses antes de atacar en un momento que causa un daño óptimo. En el ataque contra Travelex con el ransomware REvil, los ciberdelincuentes se habían infiltrado en la red de la empresa seis meses antes de cifrar los datos y exigir el rescate.
Los atacantes de ransomware están perfeccionando sus conjuntos de herramientas y las empresas deben responder de la misma manera. Afortunadamente, hacerlo está completamente en su poder.
A continuación, presentamos algunas sugerencias de los expertos de Kaspersky sobre las formas en que puede proteger su organización contra el ransomware:
- Mantenga siempre actualizado el software en todos los dispositivos que utiliza para evitar que el ransomware aproveche las vulnerabilidades.
- Enfoque su estrategia de defensa en la detección de movimientos laterales y exfiltración de datos a Internet. Preste especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Realice copias de seguridad de los datos con regularidad. Asegúrese de poder acceder a él rápidamente en caso de emergencia cuando sea necesario.
- Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que ayudan a identificar y detener un ataque en una etapa temprana, antes de que los atacantes alcancen sus objetivos finales.
- Para proteger el entorno empresarial, eduque a sus empleados. Los cursos de capacitación dedicados pueden ayudar, como los que se brindan en Kaspersky Automated Security Awareness Platform . Aquí encontrará una lección gratuita sobre cómo proteger su empresa de los ataques de ransomware .
- Utilice una solución de seguridad de punto final confiable, como Kaspersky Endpoint Security for Business, que funciona con prevención de exploits, detección de comportamiento y un motor de corrección que puede revertir acciones maliciosas. KESB también tiene mecanismos de autodefensa que pueden evitar su eliminación por parte de los ciberdelincuentes.