La actividad del ransomware disminuye, pero continúa siendo una amenaza peligrosa

Hace uno o dos años, era entendible que se pudiera pensar que todo Internet estaba lleno de ransomware. En 2016, los investigadores identificaron 98 nuevas familias de ransomware, frente a solo 30 del año anterior. Luego, en 2017, los muy destructivos ataques de WannaCry y Petya llegaron a los titulares en todo el mundo.

Pero pareciera que últimamente el ransomware ha desaparecido de las noticias. Resulta que hay una razón para que esta forma de ataque tenga un perfil repentinamente menor. Durante 2018, la cantidad de infecciones por ransomware se redujo en un 20 % en comparación con 2017, de acuerdo con el Informe sobre las amenazas para la seguridad en Internet 2019 de Symantec (ISTR). Además, solo 10 nuevas familias de ransomware aparecieron durante 2018.

Detrás de estas estadísticas alentadoras se encuentran algunos hechos alarmantes. Dentro de la caída general en la actividad de ransomware, Symantec registró un aumento del 12 % en estos ataques contra objetivos empresariales. También es notable que las infecciones de ransomware en dispositivos móviles aumentaron en un 33 % durante 2018.

Incluso la caída general del 20 % en la actividad de ransomware durante el año debe considerarse en el contexto de que el año anterior, 2017, marcó un récord para este tipo de ataque. "Aún había más actividad de ransomware en 2018 que en 2016”, advierte Dick O'Brien, editor principal de la organización Symantec Security Response. “El ransomware sigue siendo una amenaza seria y peligrosa”.

Ese hecho resultó evidente por una serie de ataques del llamado ransomware SamSam durante 2018. Symantec encontró evidencias de ataques de SamSam contra 67 objetivos el año pasado, casi una cuarta parte de ellos organizaciones de salud.

Uno de los ataques más visibles asociados con SamSam afectó la ciudad norteamericana de Atlanta el 22 de marzo de 2018. En este incidente, numerosas computadoras municipales quedaron cifradas por el ransomware por lo que más de un tercio de los 424 programas de software utilizados por Atlanta quedaron desconectados o parcialmente deshabilitados por el ataque. Las autoridades de Atlanta dijeron que no se pagaron los US$51,000 en bitcoin que los atacantes exigían para liberar los datos cifrados, pero se esperaba que la limpieza después del ataque iba a costar más de 10 millones de dólares a la municipalidad.

Este enorme gasto de reparación pone en claro una de las realidades de cualquier ataque de ransomware: incluso si la víctima no cumple con las demandas de los atacantes, el costo de remediar el daño causado puede ser enorme. “Para las empresas con cientos o miles de computadoras, puede ser tremendamente disruptivo y costoso recuperarse de un ataque de ransomware, incluso si tienen copia de seguridad de los datos que fueron cifrados por el ataque”, señala O'Brien.

Aún así, como lo sugiere la disminución en la actividad de ransomware el año pasado, hay tendencias positivas en curso en esta área. Más consumidores están haciendo una copia de seguridad de sus datos en la nube, por lo que pueden recuperarlos si los datos de su dispositivo son cifrados malintencionadamente. El creciente número de intervenciones policiales contra atacantes de ransomware también tiene su impacto. Y los proveedores de ciberseguridad están mejorando la detección y el bloqueo del ransomware mismo.

Estas defensas mejoradas han ayudado a reducir el predominio de ataques de ransomware montados con la ayuda de kits de puntos vulnerables basados en la web. En cambio, las campañas de correo electrónico que usan phishing y otros métodos para atrapar víctimas se convirtieron en el método principal de distribución de ransomware en 2018, según el ISTR de Symantec.

Mientras tanto, el gran volumen de todas las formas de malware lleva a una mayor dependencia de las nuevas tecnologías y técnicas defensivas. “Tradicionalmente, bloqueábamos el malware obteniendo una muestra, tomándole una «huella digital» y haciendo un informe si era identificado”, dice O'Brien. “Ahora hay tanto malware, que el proceso manual de búsqueda de huellas digitales no es lo suficientemente eficiente”.

En cambio, Symantec está recurriendo a tecnologías como el análisis de comportamiento y el aprendizaje automático para bloquear el ransomware en un punto previo del proceso de infección. Symantec puede acceder a una gran cantidad de datos de su base global de clientes para presentar a los algoritmos de aprendizaje automático malware conocido y código potencialmente sospechoso. “A cuanto más malware sea expuesto el aprendizaje de máquina, mejor ajustado resultará, y más capaz de crear nuevas huellas digitales por sí solo”, dice O'Brien.

Al igual que con la mayoría de los ciberataques, los ataques de ransomware suelen ocurrir en combinación con otras técnicas de ataque. Por ejemplo, los ataques de ransomware SamSam también supieron aprovecharse de técnicas del tipo "living off the land", utilizando funciones del sistema operativo o herramientas administrativas comunes para explorar y comprometer las redes y sistemas de sus víctimas.

Ya sea por sí mismo o como parte de un ataque híbrido, el ransomware sigue siendo una amenaza importante en todo el panorama de la informática. Las organizaciones no deben dejarse llevar por una sensación de complacencia ante este tipo de amenaza simplemente porque ya no aparece en los titulares tanto como en el pasado.