El ataque Wannacry ha situado a España en el Top 10 de tráfico de Ransomware y ha devuelto a la primera plana nacional e internacional la importancia de la ciberseguridad, marcando un claro antes y después en la cobertura mediática sobre ciberataques, y en donde el ransomware ha dejado de ser la preocupación solamente de los responsables de la seguridad de TI para pasar a serlo para todo el mundo. Sin embargo, se debe ser consciente de que este tipo de malware lleva presente ya mucho tiempo y, aunque no sea una novedad para muchos profesionales de la seguridad, sigue siendo un problema molesto para las empresas, ya que sigue ocupando buena parte del trabajo diario de los expertos de seguridad de TI.
Desde Sophos se han analizado las familias de ransomware y vectores de ataque más prolíficos que se han sucedido más recientemente (de octubre de 2016 a abril de 2017), desvelándose que España ocupa el octavo puesto a nivel europeo en tráfico de Ransomware, en una lista que encabezan Gran Bretaña, Bélgica y Países Bajos.
Este estudio, no incluye el estallido de WannaCry de mediados de mayo, pero incorpora a Cerber que es más o menos comparable. Los datos se recopilaron utilizando las búsquedas realizadas desde ordenadores de usuarios. En primer lugar, los laboratorios observaron familias de ransomware específicas y descubrieron que Cerber y Locky eran, con mucha diferencia, las más activas. Cerber representó la mitad de toda la actividad durante el periodo y Locky, un cuarto de la misma.
España ocupa el octavo puesto a nivel europeo en tráfico de Ransomware, en una lista que encabezan Gran Bretaña, Bélgica y Países Bajos
Cerber ha experimentado muchas mutaciones diseñadas para eludir antivirus y sandboxes. Una versión fue distribuida a través de correos basura que se hacían pasar por servicios de entrega a domicilio. Por su parte, Locky suele renombrar los archivos importantes de sus víctimas para añadirles la extensión .locky. Al igual que Cerber, sus tácticas y caretas se han ido transformando con el paso del tiempo.
En Europa, los países con más actividad de ransomware son, por orden de mayor a menor: Gran Bretaña, Bélgica, Países Bajos, Italia, Francia, Alemania, Suiza, España, Dinamarca y Finlandia.
Mientras que a nivel mundial, el listado queda ordenado con Gran Bretaña, Bélgica, Países Bajos y EEUU encabezando los primeros puestos y el mayor pico de actividad durante la primera mitad de marzo. La actividad decayó durante un corto periodo de tiempo y volvió a subir en torno al 5 de abril.
A continuación, los laboratorios analizaron los métodos de transmisión de malware y la evolución durante el último año (abril 2016-abril 2017) y descubrieron, entre otras cosas, que el malware llegaba a través de distintos ángulos de ataque: correos basura, malvertising y Drive-by-download. El vector de ataque predominante fue a través de archivos adjuntos a emails, en particular documentos PDF y de Office. La mayor parte de los ataques de spam malicioso que usaban archivos adjuntos no ejecutables están, de un modo u otro, relacionados con infecciones de ransomware. Vimos una gran caída en spam malicioso a partir de diciembre de 2016.