La firma de seguridad de redes y endpoints, Sophos, anunció el lanzamiento de SophosLabs 2018 Malware Forecast, un informe que recapitula el ransomware y otras tendencias de seguridad cibernética basado en datos de computadoras de clientes de Sophos de todo el mundo entre el 1° de abril y el 3 de octubre de 2017.
Un hallazgo clave muestra que, aunque el ransomware predominantemente atacó a los sistemas Windows en los últimos seis meses, las plataformas Android, Linux y MacOS no eran inmunes. Solo dos cepas de ransomware fueron responsables del 89,5% de todos los ataques interceptados en las computadoras de sus clientes en todo el mundo.
El informe también rastrea los patrones de crecimiento de ransomware, indicando que WannaCry, lanzado en mayo de 2017, fue el número uno interceptado de las computadoras de los clientes, destronando al antiguo líder Cerber, que apareció por primera vez a principios de 2016. WannaCry representó el 45.3% de todo el ransomware rastreado a través de SophosLabs con Cerber representando el 44.2%.
Dorka Palotay, investigador de seguridad de SophosLabs destacó que «el ransomware se ha vuelto agnóstico a plataformas. Se dirige principalmente a computadoras con Windows, pero este año SophosLabs vio una mayor cantidad de ataques criptográficos en diferentes dispositivos y sistemas operativos utilizados por nuestros clientes en todo el mundo».
Y agregó: «a pesar de que nuestros clientes están protegidos contra él y WannaCry se ha reducido, todavía vemos la amenaza debido a su naturaleza inherente para seguir escaneando y atacando computadoras. Es de esperar que los ciberdelincuentes aprovechen esta capacidad de replicar vista en WannaCry y NotPetya, y esto ya es evidente con Bad Rabbit ransomware, que muestra muchas similitudes con NotPetya».
El informe habló sobre el aumento y la caída aguda de NotPetya, ransomware que causó estragos en junio de 2017. NotPetya se distribuyó inicialmente a través de un paquete de software de contabilidad ucraniano, lo que limita su impacto geográfico. Se pudo propagar a través del exploit EternalBlue, al igual que WannaCry, pero debido a que WannaCry ya había infectado a la mayoría de las máquinas expuestas, quedaban pocas sin parchear y vulnerables.
«Desafortunadamente, este modelo de negocio de Dark Web está funcionando y es probable que una compañía legítima financie el desarrollo continuo de Cerber. Podemos asumir que las ganancias están motivando a los autores a mantener el código», dijo Palotay.
El ransomware de Android también atrae a ciberdelincuentes. Según el análisis, la cantidad de ataques a clientes de Sophos que usan dispositivos Android aumentó casi todos los meses en 2017. El informe indica que surgieron dos tipos de métodos de ataque de Android: bloquear el teléfono sin cifrar datos y bloquear el teléfono al cifrar los datos.
La mayoría de ransomware en Android no encripta datos de usuario, pero el solo hecho de bloquear una pantalla a cambio de dinero es suficiente para causar dolor a las personas, especialmente considerando cuántas veces en un solo día se accede a la información en un dispositivo personal.