Ransomware ha estado con nosotros durante un tiempo e incluso se considera vieja noticia por muchos profesionales de la seguridad. Sin embargo, sigue siendo un problema molesto para muchas empresas. SophosLabs estudió recientemente las familias de ransomware más prolíficas y los vectores de ataque durante un período de seis meses.
Desglosamos las estadísticas y, lo que es más importante, le proporcionamos los recursos para ayudar a montar una defensa más efectiva.
Estadísticas de SophosLabs
Las estadísticas a continuación cubren el período de seis meses entre octubre de 2016 y abril de 2017. No incluye el brote de WannaCry de mediados de mayo, que se produjo posteriormente.
Los datos se recopilaron mediante búsquedas de equipos de clientes. Comenzando con familias de ransomware específicas, los laboratorios encontraron que Cerber y Locky eran de lejos los más activos.
Cerber representó la mitad de toda la actividad durante el período, y Locky constituyó una cuarta parte de ella. Cerber ha sufrido muchas mutaciones diseñadas para eludir sandboxes y antivirus. Una versión de propagación a través de correos electrónicos de spam disfrazado de servicio de entrega de mensajería. Locky, por su parte, tiene un historial de renombrar los archivos importantes de sus víctimas para que tengan la extensión .locky. Al igual que Cerber, sus tácticas y su maquillaje se han transformado con el tiempo.
Los países que más actividad han recibido son la Gran Bretaña, Bélgica, los Países Bajos y los Estados Unidos, y el mayor aumento de la actividad se produjo a principios y mediados de marzo. La actividad cayó por un corto período de tiempo, pero aumentó nuevamente alrededor del 5 de abril.
Al revisar los métodos de entrega de malware y la evolución del año pasado (abril de 2016 a abril de 2017), los laboratorios descubrieron, entre otras cosas, que el malware provenía de diferentes ángulos de ataque: correo electrónico, spam y malware. El vector de ataque más frecuente para ransomware era los archivos adjuntos de correo electrónico, en particular documentos PDF y documentos de Office.
La mayoría de los ataques de spam maliciosos que utilizan archivos adjuntos no EXE están relacionados con infecciones de ransomware de una manera u otra. Vimos una gran caída en el spam malicioso a partir de diciembre de 2016.
Los porcentajes exactos se capturan aquí (para una vista más cercana, haga clic en varias partes del gráfico y utilice la función de lupa).
¿Qué hacer?
Para protegerse mejor de este tipo de cosas:
- Realice copias de seguridad periódicamente y mantenga una copia de seguridad reciente fuera del sitio. Hay docenas de maneras diferentes de ransomware que los archivos pueden desaparecer repentinamente, como incendio, inundación, robo, una computadora portátil caída o incluso una eliminación accidental. Cifrar su copia de seguridad y no tendrá que preocuparse por el dispositivo de copia de seguridad caer en las manos equivocadas.
- No habilite macros en adjuntos de documentos recibidos por correo electrónico. Microsoft desactivó deliberadamente la ejecución automática de macros por defecto hace muchos años como medida de seguridad. Muchas infecciones de malware se basan en persuadir a volver a activar las macros, así que no lo hagas!
- Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones se basan en el dilema de que no debe abrir un documento hasta que esté seguro de que es uno que desea, pero no se puede saber si es uno que desea hasta que lo abra. En caso de duda, déjalo fuera.
- Patch temprano, patch a menudo. Los programas maliciosos que no entran a través de macros de documentos a menudo se basan en errores de seguridad en aplicaciones populares, como Office, su navegador, Flash y más. Cuanto antes se remache, menos huecos permanecen para que los delincuentes exploten.
- Utilice Sophos Intercept X, que detiene el ransomware en sus pistas al bloquear el cifrado no autorizado de los archivos.
Otros enlaces que creemos útiles:
- Para defenderse contra ransomware en general, vea nuestro artículo Cómo mantenerse protegido contra ransomware.
- Para proteger contra archivos adjuntos de JavaScript, indique a Explorer que abra los archivos .JS con el Bloc de notas.
- Para protegerse contra los nombres de archivo engañosos, indique a Explorer que muestre las extensiones de archivo.
- Para obtener más información sobre ransomware, escuche nuestro podcast Techknow.
- Para proteger a sus amigos y familiares contra ransomware, pruebe nuestro Sophos Home para Windows y Mac gratis.