Se descubrió que hasta 130 familias diferentes de ransomware estaban activas en 2020 y la primera mitad de 2021, siendo Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido los más afectados. territorios reveló un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware.

El Departamento de Seguridad Cibernética VirusTotal de Google atribuyó una parte importante de su actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5 %), seguido de Babuk (7,61 %), Cerber (3,11 %), Matsnu (2 , 63 %), Wannacry (2,41 %), Congur (1,52 %), Locky (1,29 %), Teslacrypt (1,12 %), Rkor (1,11 %) y Reveon (0,70 %).

«Los atacantes utilizan una serie de enfoques, incluido el conocido malware de botnet y otros troyanos de acceso remoto (RAT), como un medio para entregar su ransomware», dijo Vicente Díaz, estratega de VirusTotal Threat Intelligence. «En la mayoría de los casos, utilizan muestras de ransomware frescas o nuevas para sus campañas».

Algunos de los otros puntos clave revelados en el estudio son los siguientes:

• GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk provocó un aumento de las infecciones en julio de 2021.
• El 95 % de los archivos de ransomware encontrados eran ejecutables basados ​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2 % estaban basados ​​en Android.
• Aproximadamente el 5 % de las muestras analizadas se asociaron con vulnerabilidades de elevación de Windows, acceso a SMB y arranque remoto.
• Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos provienen de una ola incesante de ataques de ransomware de infraestructura crítica, con pandillas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de tuberías y las instalaciones médicas, incluso cuando el panorama es testigo de un cambio constante en la evolución y fragmentación de los grupos de ransomware. y reorganizarse bajo nuevos nombres, o salir del radar para evitar el control.

La explosión de nuevas familias de malware ha atraído a nuevos jugadores a participar en estos planes lucrativos, convirtiendo el ransomware en un modelo comercial criminal rentable.

“Si bien las grandes campañas van y vienen, existe una base constante de actividad de ransomware para unas 100 familias de ransomware que nunca se detendrá”, dice el informe. «Cuando se trata de distribuir ransomware, los atacantes no parecen necesitar exploits más que para aumentar los permisos y propagar malware en las redes internas».