Seguridad

Países más afectados por ransomware en Latinoamérica durante 2018

Te contamos qué países fueron los más afectados por ransomware en Latinoamérica durante el 2018 y cuáles fueron las familias más afectadas en los países con mayor impacto de esta amenaza durante el último año: Colombia, Perú y México.

La novedad del ransomware como una de las amenazas favoritas de los ciberdelincuentes ha dejado de eclipsar la atención de los medios, pero las devastadoras consecuencias que tiene sobre sus víctimas lo posicionan actualmente como la principal preocupación de las organizaciones de la región, según datos de nuestro Informe de seguridad de ESET.

La actividad de esta amenaza marcó un pico histórico en 2017, tanto en el número de detecciones como en la tasa de generación de nuevas variantes, exhibiendo una curva de crecimiento casi exponencial que mucho tuvo que ver con la aparición de familias de ransomware como WannaCry (identificado por soluciones de seguridad de ESET como WannaCryptor). Ese año, un tercio de las detecciones se concentraron en países latinoamericanos, siendo Perú (25%) la región más afectada.

A mediados de 2018, el panorama del ransomware comenzó a mostrar cambios sutiles. Surgían nuevas familias de rápida propagación como GandCrab y Venezuela se colaba entre los países más afectados de Latinoamérica, junto a México y Perú. Mientras entramos en 2019, vale la pena mirar hacia atrás para ver qué ha cambiado en los últimos meses del año.

En general, los países de la región que cerraron el año pasado con más detecciones Colombia (30%), Perú (16%) y México (14%). A nivel internacional, Estados Unidos (9%) y Rusia (7%) ocuparon el primer lugar del ranking, mientras que Colombia ocupó el séptimo lugar con el 4% de las detecciones del mundo. Como dato extra para nuestros lectores españoles, España aparece en el cuarto puesto con el 6%.

Imagen 1. Detecciones de FileCoder en Latinoamérica durante 2018.

Las familias que más actividad mostraron en el mundo fueron TeslaCrypt, Crysis y CryptoWall, seguidos de TorrentLocker y WannaCryptor. Sin embargo, algunas de estas familias impactaron de forma particular en Latinoamérica. Centrémonos ahora en las particularidades que se pueden observar en los tres países más afectados de la región.

Colombia: el país con más detecciones del ransomware Crysis

Este país, que hasta junio de 2018 ocupaba la cuarta posición de los países latinoamericanos más afectados, cerró el año pasado en el primer lugar de detecciones. ¿Qué sucedió en la segunda mitad del año para causar este cambio? Pues, que a partir de julio comenzó a circular una nueva campaña de Crysis especialmente dirigida a Colombia.

Recuerda que Crysis apareció a principios de 2016 y hoy en día existen herramientas de descifrado para las primeras versiones de la amenaza, pero no para las últimas versiones. Las detecciones de esta familia de ransomware han hecho que Crysis se mantenga entre los cinco ransomwares más propagados durante los últimos años, con un marcado aumento desde julio de 2018.

La campaña utilizó la propagación a través del correo electrónico y la Ingeniería Social, simulando una situación de endeudamiento y pedirle a la víctima que descargue y abra un archivo adjunto con el supuesto detalle.

Imagen 2. Una de las plantillas de correo utilizadas para propagar Crysis en Colombia.

Esta campaña fue tan masiva y tan dirigida. Las detecciones de Colombia cayeron de solo el 5% de las detecciones globales de Crysis en junio de 2018 a casi el 50% en agosto, disminuyendo al 31% hacia diciembre. Esto logró un pico histórico de actividad para esta familia entre agosto y septiembre del año pasado.

Imagen 3. Detecciones de Crysis en Colombia y el mundo durante 2018.

Imagen 4. Detecciones de Crysis en el mundo durante el último mes.

El 82% de las detecciones de ransomware en Colombia durante 2018 correspondieron a Crysis. En segundo y tercer lugar tenemos un TeslaCrypt (3%) y GandCrab (2%) respectivamente. En total, se detectó en el país un incremento de 199% respecto a las detecciones de ransomware durante 2017.

Imagen 5. Detecciones de FileCoder en Colombia durante 2018.

Filecoder.NHN y CryptProjectXXX: las familias de ransomware que se disputan Perú

Perú también tiene su propio microecosistema de ransomware, dominado particularmente por dos familias en los últimos años. Uno de ellos es CryptProjectXXX, generalmente asociado al uso de exploit kits y RATs para su propagación, cuyas detecciones en el país aumentaron un 40% con respecto a 2017. Esta variante, además de encriptar información, tiene la capacidad de robar información sensible.

La otra familia de ransomware presente en el país es Filecoder.NHN, que fue creada en 2016 y está programada en el lenguaje AutoIt. Desde un principio, esta firma centró su actividad en Perú, con un pico de actividad en abril de 2017. Desde ese máximo de detecciones, la actividad de esta familia ha experimentado un descenso del 59%, pero sigue siendo uno de los principales ransomware. que afectan a la región. Algunos inquisidores vinculan esta variante de FileCoder con Revenge RAT.

Imagen 6. Detecciones de FileCoder en Perú durante 2018.

Filecoder.NHN es parte de un gran fenómeno: el uso de AutoIt para la generación de malware. Desde 2015 hemos observado un crecimiento en la detección de amenazas programadas con este lenguaje que afectan a Perú. En total, vemos un aumento del 160 % en comparación con 2016 y del 810 % en comparación con 2015.

Además del ransomware, cabe señalar que Perú (9,5%) es el segundo país del mundo con más detecciones de Coin Miners en 2018, seguido de Rusia (10%).

México: un país asediado por múltiples variantes de ransomware

En el caso de México, el escenario del ransomware se entente un poco más diversificado. Durante el último año, más de 200 variantes de ransomware se han propagado en México. Las dos familias que concentraron mayores detecciones fueron Crysis y TeslaCrypt, concentrando cada una el 14% de las detecciones de FileCoder del país. A continuación, encontramos CryptoWall (13%) en tercer lugar.

Imagen 7. Detecciones de FileCoder en México durante 2018.

Las detecciones de crisis son relativamente constantes durante todo el año, con un ligero aumento en la segunda mitad. Este es el resultado de la misma campaña que mencionamos anteriormente, pues si bien afectó particularmente a Colombia, también llegó a otros países de América Latina.

Afortunadamente para México, las detecciones de ransomware han disminuido constantemente desde 2016. En 2018, hubo una disminución del 30 % en la cantidad de detecciones en comparación con 2017 y del 55 % en comparación con 2016.

Imagen 8. Detecciones de FileCoder en México desde 2015.

Ransomware y CoinMiners: ¿rivales o cómplices?

Aunque no podemos negar que el ransomware sigue siendo una peligrosa amenaza para las empresas, una nueva tendencia en el mundo del cibercrimen ha pasado factura: los criptomineros.

Desde el 2010, momento en el que surgieron las primeras muestries maliciosas para minería, la capacidad de procesosamento de los diferentes equipos ha mejorado notablemente. Esto sumado a la creciente popularidad de las criptomonedas, la masificación de las tecnologías de minería, el aumento de la cantidad de procesadores por computadora, la diversificación de dispositivos y el aumento de la superficie de exposición de los mismos, propició un auge de la criptominería ilegal o cryptojacking. Evidencia de esto fue que, en 2018, las detecciones de mineros aumentaron un 214% respecto a 2017.

Imagen 9. Detecciones de FileCoder y Coin Miners.

Sin embargo, lejos están los mineros de reemplazar al ransomware. Probablemente, los ciberdelincuentes modifiquen su modus operandi, centrándose en la creación de ransomware más complejos para entornos corporativos. O tal vez reinventar la forma de secuestro digital agregando nuevas funciones. De cualquier forma, podemos esperar que ambas amenazas continúen vigentes en los próximos años.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!