Historia y evolución del ransomware: datos y cifras

¿Dónde se originó el ransomware? ¿Qué relación guardan los bloqueadores con los cifradores y por qué este es el malware el favorito de los ciberdelincuentes?

El ransomware ha aparecido mucho en las noticias últimamente. ¿Es el malware solo otro asunto de interés que todo el mundo olvidará en cuanto aparezca otra gran amenaza? Por desgracia, es poco probable: las infecciones de ransomware están alcanzando índices de pandemia y este tipo de malware no va a desaparecer a corto plazo. No tratamos de asustarte, bueno, sí, pero no por gusto. Echa un vistazo a las estadísticas recopiladas por Kaspersky Security Network y verás que nos enfrentamos a una amenaza muy peligrosa.

La primera ola: los bloqueadores

La historia del ransomware se puede dividir en dos: antes del cifrado y después de este. Los bloqueadores fueron los ancestros de los cifradores modernos. Este malware bloqueaba el acceso al sistema operativo o al navegador de un usuario hasta que la víctima pagaba un rescate moderado. El pago normalmente requería el envío de un SMS a un número corto (un número telefónico alternativo, a menudo utilizado para realizar donaciones de caridad) o la transferencia de dinero a un monedero electrónico.

Este malware era muy rentable y los delincuentes lo usaban con frecuencia. Como es natural, los expertos en seguridad y los organismos policiales abordaron el problema rápidamente.

Encontraron una solución elegante y golpearon el negocio de los ciberdelincuentes desde los sistemas de pago. Cuando la regulación de los pagos electrónicos cambió, la ciberdelincuencia pasó a ser menos rentable y más arriesgada por lo que muchos fueron arrestados.

Segunda ola: los cifradores

Hace un par de años, todo cambió. Bitcoin se expandió y se hizo popular entre los ciberdelincuentes. La moneda cifrada es, simultáneamente, un activo digital y un sistema de pago imposible de rastrear o regular. Por supuesto, a los delincuentes les encantaba. Además, cambiaron a una nueva estrategia: en lugar de bloquear el acceso a los navegadores y a los sistemas operativos, comenzaron a cifrar los archivos de los discos duros de las víctimas.

¿Por qué la estrategia de cifrado es tan eficiente? Los archivos privados son únicos, así que los usuarios no pueden sustituirlos reinstalando el sistema operativo. Si el cifrador utiliza un cifrado fuerte, las víctimas no pueden restaurar (es decir, descifrar) sus archivos, lo que ha dado poder a los delincuentes para que pidan grandes sumas de rescate: cientos de dólares a los consumidores y miles a las compañías y corporaciones.

Durante un tiempo, la joven generación de cifradores no estaba tan extendida como los antiguos bloqueadores. Pero no pasó mucho tiempo hasta que los delincuentes adoptaron el uso del nuevo malware. A finales de 2015, el número de ataques de ransomware se incrementaba a un gran ritmo.

 

01

 

Según nuestros análisis, basados en las estadísticas de Kaspersky Security Network, en un año el número de ataques se quintuplicó: De 131.111 intentos de infección entre 2014 y 2015 a 718.536 entre 2015 y 2016.

Distribución global de ataques y las familias de ransomware más activas

En el top 10 de los países con ransomware están: India, Rusia, Kazajistán, Italia, Alemania, Vietnam, Argelia, Brasil, Ucrania y Estados Unidos. Aun así, el ransomware al que se enfrenta la gente en India, Argelia, Rusia, Vietnam, Kazajistán, Ucrania y Brasil es, en su mayoría, antiguo y se trata de versiones relativamente leves de cifradores. En Italia y Alemania la situación es peor: en estos países la palabra “ransomware” es sinónimo de “cifrador”.

Entre 2015 y 2016 fueron cuatro los troyanos más activos: TeslaCrypt (casi la mitad del total de los ataques, pero, por suerte, tenemos un descifrador para él), CTB-Locker, Scatter y Cryakl (también desciframos Cryakl). Estas cuatro familias comparten una “cuota de mercado” del 80 %.

 

04-1

 

Otro dato que hay que tener en cuenta: inicialmente, el ransomware se centraba mayormente en usuarios domésticos. Tras pasarse al cifrado, empezaron a ir también a por las compañías: la diferencia de cuota de usuarios corporativos atacados con ransomware de entre 2015 y 2016 ha doblado a la de los años anteriores, pasando de un 6,8 % a un 13,13 %.

 

07

 

Puedes leer más sobre la evolución del ransomware desde 2014 a 2016 en securelist.lat.

Cómo protegerse

  1. Haz copias de seguridad a menudo.

  2. Utiliza soluciones de seguridad de confianza. Por ejemplo, Kaspersky Internet Security, al igual que nuestras otras soluciones estrella, detecta y bloquea todas las familias de ransomware conocidas. También tiene un módulo incorporado que te protegerá de los nuevos cifradores aún desconocidos.

  3. Actualiza tu software de manera regular: los parches solventan vulnerabilidades. Cuantos menos bugs tengas, más difícil será infectar tu sistema.

  4. Mantente al día con noticias de ciberseguridad aquí en Kaspersky Daily y en threatpost.com (estar prevenido hoy te ayudará en el futuro). Alerta a tus amigos, familiares y colegas de las últimas amenazas.

  5. Si ya has sido víctima de ransomware, no pagues ningún rescate sin antes probar otras opciones. Si te has topado con un bloqueador, utiliza nuestrs herramienta gratuita WindowsUnlocker. Si estás ante un cifrador, comprueba si hay una cura para él en NoRansom.kaspersky.com.

Consejos