Virus Total, la compañía de ciberseguridad de Google especializada en el análisis archivos y URLs para detectar malware, ha presentado su primer informe de actividad de ransomware, titulado ‘Ransomware in a global context’. El documento es fruto del análisis de datos recabados entre enero de 2020 y agosto de 2021, y procedentes de 140 países. En su conjunto, ofrece una interesante radiografía del estado actual de este tipo de ciberdelitos.
El ransomware o secuestro de datos no deja de evolucionar y se ha convertido en una de las formas de cibercrimen más sofisticadas y extendidas de la actualidad. El informe de Virus Total analiza datos de su servicio de escaneo de malware, que analiza los archivos sospechosos de clientes de todo el mundo. Según la propia compañía, sus herramientas reciben más de dos millones de archivos sospechosos al día para ser revisados.
Windows, la plataforma más usada… y atacada
La primera conclusión es que el 95% del ransomware que la división ha detectado ataca a ordenadores con Windows. En concreto, el 93,28% de los archivos problemáticos eran ejecutables de Windows y otro 2% eran DLL de este sistema operativo. La preponderancia de este sistema operativo está directamente relacionada, por supuesto, por la gran cantidad de organizaciones que lo usan.
El 2% de los ataques detectados se perpetraban en Android. Respecto a los MacOSX, el informe destaca un conjunto de EvilQuest (una de las familias de ransomware) dirigido a esta plataforma, con la gran mayoría de las muestras detectadas por primera vez a mediados de 2020. En total fueron un millón de muestras que, porcentualmente, representan una fracción mínima de los ataques detectados. Además, Virus Total destaca que no ha detectado ningún ataque de ransomware a dispositivos que usen Chrome OS Cloud-first, sistema operativo de la propia Google.
Es importante señalar que la inmensa mayoría de estos ataques no fructificaron precisamente porque fueron detectados por Virus Total.
Herramientas adaptadas a cada ataque
Israel fue el país en el que más ataques de ransomware se detectaron, si bien los propios expertos de Virus Total aseguran que esto tiene que ver con que las organizaciones y empresas de aquel país tienen muy sistematizado el envío de archivos para su análisis (el servicio de Virus Total permite el envío automático de archivos o que sus clientes envíen solo los que consideran oportunos. La lista de países afectados continúa, en este orden, con Corea del Sur, Vietnam, China, Singapur e India.
El análisis también pone de manifiesto que el ransomware es una técnica de ataque en constante evolución. Según Virus Total, hay actualmente 130 familias de ransomware diferentes y, en la mayoría de los casos, los ciberatacantes utilizan versiones modificadas específicamante para cada ataque concreto. Virus Total ha detectado 6.000 grupos atacantes, con GandCrab como la familia más activa, seguida de Babuk, Cerber, Matsnu, Congur, Locky, Teslacrypt, Rkor y Reveon.
