Tal y como se desprende de último informe de amenazas publicado por Bitdefender, el ransomware sigue avanzando imparable. Tanto es así que se han identificado 192 familias en todo el mundo, y WannaCry sigue siendo la mayor de ellas.
Aunque algunos estudios han apuntado que en los últimos meses el ransomware había experimentado un ligero descenso, lo cierto es que su actividad sigue siendo muy alta.
Bien es cierto que, en los últimos meses, el cese de algunos grupos de ransomware, bien por iniciativa propia o por la actuación de fuerzas del orden, entre otras, ha contribuido a una disminución de estos ataques.
Sin embargo, la amenaza sigue, y muy vigente. Así lo confirma el reciente informe publicado por Bitdefender en el que se identifican 192 familias de ransomware activas. De ellas, WannaCry, activo desde 2017 y que se atribuye a hackers norcoreanos, ha representado el 42% de las detecciones.
En segunda posición, y muy lejos de WannaCry, se ha situado GandCrab, que ha representado el 15% de las detecciones pese a que fue descubierto por primera vez a principios de 2018. Y es que sus desarrolladores no dejan de lanzar nuevas versiones utilizando tácticas muy creativas para infectar a las víctimas con software malicioso de encriptación muy sofisticado.
Le sigue en tercera posición Robin, que apareció en 2020 y que insta a los usuarios a realizar ‘buenas acciones’ si quieren recuperar sus datos o sistemas. Donar ropa, pagar menús a personas con pocos recursos o asistencia sanitaria a personas que la necesiten son algunos ejemplos. Se ha encontrado en el 12% de las detecciones de ransomware.
Esto pone de manifiesto que el ransomware no solo sigue siendo una amenaza muy presente, sino que, además, persiste a lo largo de los años a través de los mismos grupos.
Amenazas más allá del ransomware
Si bien el ransomware sigue estando muy presente en el panorama de ciberamenazas, también hay que seguir prestando mucha atención a otras que representan un alto riesgo para la seguridad.
Los datos del informe de Bitdefender también alertan de la existencia de troyanos dirigidos a dispositivos Android. Los más frecuentes que han detectado son tres.
Downloader.DN, en el 54% de las detecciones de troyanos. Se trata de aplicaciones reempaquetadas cogidas de la tienda de aplicaciones de Google, Play Store, y empaquetadas con adware agresivo. Algunos adware descargan otras variantes de malware.
Triada.LC, detectado en el 10% de los troyanos identificados. Se trata de un malware que recopila información confidencial sobre un dispositivo (ID de dispositivo, ID de suscriptor, direcciones MAC) y la envía a un servidor C&C (de comando y control, que controla el malware) malicioso. El servidor C&C responde devolviendo un enlace a una carga útil que el malware descarga y ejecuta.
SMSSend.AYE, presente en el 8% de los troyanos detectados. Es un malware que intenta registrarse como aplicación de SMS predeterminada en la primera ejecución solicitando el consentimiento del usuario. Si tiene éxito, recopila los mensajes entrantes y salientes del usuario y los reenvía a un servidor de comando y control (C&C).
Banker.ZX, se ha identificado en el 6% de los troyanos identificados. Se trata de aplicaciones que se disfrazan de aplicaciones bancarias y pueden imitar conversaciones con atención al cliente. Cuando el malware se ejecuta por primera vez, solicita permisos para acceder a contactos, micrófono, geolocalización y cámara. Una vez que se otorgan los permisos, el malware puede recibir comandos del servidor C&C para filtrar datos confidenciales del teléfono.
Junto a esto, también estamos asistiendo a un paulatino aumento de ataques homógrafos. Se trata de aquellos en los que los ciberdelincuentes incorporan caracteres o símbolos internacionales que parezcan el caracter del nombre de un dominio.
Bitdefender dice que la investigación también descubrió tendencias en los ataques homógrafos, donde los atacantes abusan de los nombres de dominio internacionales para crear sitios web con URL muy similares a sitios populares.
Con esta técnica, los sitios web más falsificados fueron myetherwallet.com (23% de los casos de ataques homógrafos), facebook.com (21%), paypal.com (12%) y gmail.com (10%).