El ransomware1 en su forma moderna se detectó por primera vez en 2014 y, desde entonces, los ciberdelincuentes han producido cientos o incluso miles de variantes de ransomware diferentes. Algunos de los grupos de ransomware están cerrados actualmente, y algunos todavía están funcionando, ya que docenas de variantes no son compatibles. Sin embargo, el ransomware siempre es ransomware: cifrará sus archivos y solicitará el pago de un rescate a pesar de que se lanzó hace 3 años y nadie revisará ese correo electrónico de contacto.
Ransomware obsoleto: explicando el peligro
El ransomware se distribuye de diferentes formas. Principalmente, los que están dirigidos a corporaciones no tienen la fuente exacta del archivo: se inyecta durante el ataque por parte de delincuentes. Pero los que están dirigidos a usuarios individuales generalmente se propagan a través del correo no deseado malicioso o como parte de un programa no confiable. Por lo tanto, es muy fácil encontrar dicho programa o mensaje de correo electrónico en la Web y hacer clic en él. El ransomware durmiente estará encantado de despertarse y hacer su sucio trabajo, cifrando todo lo que tiene en su PC. Claro, no podrá conectarse a sus servidores, pero nadie prohíbe que el ransomware use una clave fuera de línea, que será tan difícil como la que está en línea.
ransomware ha cifrado los archivos del usuario
Y el problema no está solo en el hecho de que hay muchas variantes de ransomware abundantes y no controladas, que pueden cifrar sus archivos sin ninguna posibilidad de recuperarlos. Incluso después de haber sido cifrado con la variante de ransomware más reciente, puede esperar a que se lance la herramienta de descifrado o incluso pagar el rescate. Pero para las variantes de malware obsoletas, es probable que envejezca y obtenga una herramienta de descifrado gratuita o la respuesta en su correo electrónico sobre el descifrado después del pago del rescate.
Analizando las estadísticas de ransomware
Es importante saber cuánto ransomware y de qué tipo está circulando en la actualidad. Desde su aparición en 2014, el ransomware estaba experimentando solo tendencias bajistas locales, teniendo, de hecho, una tendencia alcista estable para la aparición de nuevas variantes. La última disminución significativa de la actividad de ransomware tuvo lugar a principios de 2021, cuando un gran grupo de distribución fue capturado por una policía cibernética. Sin embargo, capturar a los distribuidores no equivale a capturar a los productores de ransomware, así como a vaporizar todas las variantes de ransomware existentes. Todos los elementos maliciosos que se produjeron anteriormente siguen siendo peligrosos y se pueden encontrar en Internet, de esta o aquella forma.
Estadística antigua: no tanto, pero aún mucho
Durante los primeros 4 años de actividad de ransomware, los analistas de ciberseguridad detectaron alrededor de 560 variantes de ransomware diferentes. Esas variantes pertenecen a diferentes familias y la mayoría de ellas actualmente no están operativas. Por lo tanto, si de alguna manera tiene una de estas cosas en su PC, nadie puede ayudarlo. Incluso las primeras versiones del ransomware usaban algoritmos de descifrado bastante difíciles, AES-256 o RSA-1028, que son imposibles de descifrar con fuerza bruta. Y en esos tiempos, después del cierre, los grupos de ransomware no tenían la costumbre de publicar las claves de descifrado. Si está infectado, simplemente puede decir “adiós” a sus archivos.
Durante los últimos 3 años, el mercado de ransomware se volvió aún más activo. Claro, el acento se trasladó a los ataques corporativos, ya que es mucho más rentable por un solo ataque. El mayor rescate fue extorsionado a Acer Corporation en marzo de 2021: la compañía se vio obligada a pagar 50 millones de dólares. Es probable que se trate de una exclusión: la mayoría de los grupos de malware orientados a empresas piden entre 50 000 y 1 millón de dólares, según el tamaño de la empresa atacada. En comparación, el rescate común por el descifrado de archivos para las personas es de $ 500 a $ 3000.
Situación en 2019-2021
Durante la pandemia, los delincuentes se volvieron extremadamente activos. La actividad de ransomware aumentó, tanto las empresas como las personas sufrieron una cantidad extrema de ataques. Los tipos de ransomware mencionados anteriormente por sus objetivos obtuvieron sus líderes inmutables: el grupo Conti group para empresas (aproximadamente el 28% de todas las presentaciones) y STOP / Djvu para usuarios individuales (casi el 75% de todos los casos). Mientras que en el período de 2014-2018 los analistas dijeron acerca de una nueva variante de ransomware cada día, hoy en día pueden ver 2-4 variantes cada nuevo día. Solo la familia STOP/Djvu publica la nueva variante de su “producto” cada 3-4 días, incluso los fines de semana.
Nota de rescate para Acer Corporation
No existe una estadística estricta sobre el número total de nuevas variantes de ransomware en el período 2019-2021. Pero podemos intentar calcularlo: supongamos que el número de nuevas variantes es de 1,5 por día (teniendo en cuenta que la actividad del ransomware no es estable y, en general, fue menor en 2019). Multiplicándolo en los 974 días (contando desde el 1 de enero de 2019) y obteniendo la cantidad de 1461 variantes de ransomware. Por supuesto, este número no es exacto y debe corregirse, pero los analistas de ciberseguridad ahora se están concentrando en prevenir casos de ransomware en lugar de en estadísticas. En 2014-2018, cuando el mundo de la informática estaba horrorizado con este tipo de malware, lo único que pueden hacer los analistas es recopilar la mayor cantidad de información posible para comprender cómo actúan los delincuentes y dónde están las brechas de seguridad. Pero ahora es el momento de actuar.
Pero terminemos nuestros cálculos. 1461 variantes han aparecido solo en los últimos tres años, y también tenemos las ~ 560 variantes de ransomware más antiguo. En total, hay alrededor de dos mil variantes de ransomware diferentes y nunca se sabe si una se esconde en el programa que está intentando descargar.
Las cosas no estan tan mal
2000 variantes de ransomware es un número aterrador, pero es importante comprender ese número correctamente. Cuanto más antiguo sea el ransomware, menor será la posibilidad de que pueda encontrarlo en cualquier lugar. Incluso en los rastreadores de torrents, como ThePirateBay o Rarbg, los moderadores verifican las semillas que se informan en busca de contenido malicioso y las eliminan si esos informes son ciertos. Otros sitios web que se utilizan para distribuir ransomware están siendo prohibidos por software anti-malware y también se cierran si capturan a sus mantenedores. Para la mayoría de las versiones obsoletas de los grupos de ransomware actualmente activos (STOP/Djvu o Xorist, por ejemplo) existen herramientas de descifrado disponibles de forma gratuita.
Es mejor concentrarse en peligros de ransomware más reales, que utilizan formas mucho más complicadas de inyectarse en su sistema. Correo electrónico no deseado2 que imita los mensajes de su banco, ofertas en los grupos de Discord para probar “el nuevo programa”: todos estos métodos se utilizan no solo porque los delincuentes tienen una buena imaginación. Los usuarios se volvieron cada vez más inteligentes y no pueden ser engañados con los mismos consejos que en 2018. Por lo tanto, para estar a salvo de la pérdida repentina de todos sus archivos, es casi obligatorio tener cuidado al navegar por los sitios que no son de confianza y tener una buena solución anti-malware en su PC.
Considere leer: ¿Cómo deshabilitar o eliminar las extensiones del navegador?.
User Review
( votes)References
- Ransomware: https://es.wikipedia.org/wiki/Ransomware
- Email spam: https://en.wikipedia.org/wiki/Email_spam
