Un análisis exhaustivo de 80 millones de muestras de ransomware ha revelado que hasta 130 familias de ransomware diferentes han estado activas en 2020 y la primera mitad de 2021, siendo Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajistán, Filipinas, Irán y el Reino Unido los territorios más afectados.
El brazo de ciberseguridad de Google, VirusTotal, atribuyó una parte importante de la actividad al grupo GandCrab ransomware-as-a-service (RaaS) (78. 5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).
«Los atacantes están utilizando una serie de enfoques, incluyendo el conocido malware botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware», dijo el estratega de inteligencia de amenazas de VirusTotal, Vicente Díaz. «En la mayoría de los casos, están utilizando muestras frescas o nuevas de ransomware para sus campañas».

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes
- GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, con la familia de ransomware Babuk impulsando un aumento de las infecciones en julio de 2021.
- El 95% de los archivos de ransomware detectados eran ejecutables basados en Windows o bibliotecas de enlace dinámico (DLL), mientras que el 2% estaban basados en Android.
- Alrededor del 5% de las muestras analizadas estaban asociadas a exploits relacionados con la elevación de privilegios de Windows, divulgación de información SMB y ejecución remota.
- Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.
Los hallazgos se producen tras una incesante ola de ataques de ransomware dirigidos a infraestructuras críticas, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, como los operadores de oleoductos y las instalaciones sanitarias, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen y se reorganizan bajo nuevos nombres, o desaparecen del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos esquemas lucrativos, convirtiendo el ransomware en un modelo de negocio criminal rentable.
«Mientras que las grandes campañas van y vienen, hay una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene», dijo el informe. «En términos de distribución de ransomware los atacantes no parecen necesitar exploits más que para la escalada de privilegios y para la propagación del malware dentro de las redes internas».