En esta publicación revisaremos el estado de las familias de ransomware más propagadas en el territorio mexicano durante el segundo trimestre del año y los cambios más significativos respecto a los primeros tres meses de 2017, especialmente luego del conocido caso de WannaCryptor.

Las estadísticas del segundo trimestre en México

Han pasado poco más de dos meses desde la aparición y seguimiento mediático de WannaCryptor. Sin lugar a dudas, un parteaguas en el ámbito de la ciberseguridad, ya que en mayo el mundo entero habló de la importancia de seguridad de la información, especialmente por la característica de gusano que se agregó a las campañas de propagación de ransomware vistas hasta entonces. Se trató pues, de la aparición de lo que se puede denominar ransomworm.

A pesar de la importancia de esta amenaza, las detecciones de WannaCryptor han sido inferiores a las de otras familias de ransomware. Como lo adelanta el título de esta publicación, el siguiente análisis se lleva a cabo en base a las detecciones en México, de abril a junio del año en curso. De esta forma, podremos conocer el impacto real de WannaCryptor sobre el territorio mexicano.

Con base en las estadísticas de detección, TeslaCrypt sigue ocupando la posición de privilegio con el 21,4% de las detecciones, seguido de CryptoWall con 19,4% y Locky con 17,3%. Luego se encuentran Cerber (8,8%), Spora (7,6%) y en sexta posición WannaCryptor (6,0%).

Al final del listado encontramos a Crysis (5,7%), CTB-Locker (4,0%), CryptProjectXXX (3,7%), Jaff (3,5%), Salsa (2,1%) e HydraCrypt (0,5%). La siguiente imagen muestra de manera gráfica los resultados de las detecciones para el segundo trimestre:

Destaca que en este periodo nuevamente TeslaCrypt, CryptoWall, Locky y Cerber ocupan los primeros lugares, así como Spora; y por supuesto, la aparición de WannaCryptor, que se ubicó dentro de los primeros seis lugares, aunque quizá no con los porcentajes que se podrían esperar luego del impacto mediático que tuvo.

También sobresale que otras familias han sido desplazadas; tal es el caso de Crysis, CTB-Locker o CryptProjectXXX. Además, aparece la detección de una nueva familia identificada como Jaff. Con porcentajes menores, aparecen también en la lista Salsa e HydraCrypt.

Ransomware: secuestro de información, daños a los sistemas y otros propósitos

En el análisis de detecciones del trimestre anterior destacamos la amenaza latente del ransomware, como un negocio lucrativo para generar ganancias económicas con mayor rapidez.

Sin embargo, las campañas recientes muestran que, además de ese objetivo, nuevas familias de malware son diseñadas para causar daño y corromper la información, lo que significa que la complejidad de estas amenazas se desarrolla para afectar de forma negativa a objetivos de interés y con alcance global.

Tal fue el caso, más recientemente, del brote del malware Diskcoder.C, también conocido como ExPetr, PetrWrap, Petya, o NotPetya, el cual tiene como objetivo sobrescribir los archivos pero no cobrar el dinero del rescate. De hecho, no brinda información de contacto de los cibercriminales ni puede proveer una clave de descifrado.

Aunado a lo anterior, observamos el desarrollo de más códigos maliciosos de esta naturaleza con distintos objetivos, y no únicamente para generar réditos económicos; al mismo tiempo, crece la preocupación por el Ransomware de las Cosas, como se menciona en el nuestro informe Tendencias 2017: La seguridad como rehén.

Si bien el escenario parece pesimista, sin duda existen cuestiones positivas dentro del conjunto de descalabros. Podemos destacar que la seguridad de la información fue el foco de atención en el mundo entero a raíz de estos ataques, lo que debería traducirse es mayores iniciativas de protección en diferentes ámbitos, teniendo como punto de partida la prevención.

Para más información sobre ransomware y formas de protegerse contra esta amenaza, no te pierdas este video: