Estos son los ransomware más comunes en la actualidad según Codeware

22 de marzo de 2023

Los ransomware son uno de los tipos de malware más temidos en la actualidad, ya que pueden infectar ordenadores y dispositivos móviles de todo tipo y bloquear el acceso a los archivos del usuario.

Los atacantes exigen un rescate a cambio de liberar los archivos, y si no se paga, pueden incluso publicar información privada o dañar los sistemas infectados.

Desde Codeware han publicado un informe donde avisan de los ransomware más comunes en la actualidad, con el objetivo de que puedas conocerlos y tomar medidas para protegerte de ellos.

Ranking	Tipo de Ransomware	Cuota mercado %	Cambio en la clasificación desde el tercer trimestre de 2022
1	Hive	13.8%	+1
2	Black Basta	12.2%	+1
3	BlackCat	10.6%	-2
4	Royal	8.9%	Nuevo
5	Phobos	6.5%	-1
6	Quantum	4.8%	Nuevo
7	Diavol	3.2%	Nuevo
7	Lockbit 3.0	3.2%	Nuevo

Cuota de mercado de los ataques de Ransomware

Contenidos

Hive

Hive es un tipo de ransomware que funciona bajo el modelo de ransomware como servicio (RaaS, por sus siglas en inglés). Esto significa que contrata a afiliados para que distribuyan el código malicioso a cambio de una parte de las ganancias que generen.

Desde que surgió, Hive ha sido utilizado para atacar empresas de diversas industrias, así como sectores de infraestructuras críticas, incluyendo servicios gubernamentales, comunicaciones, manufactura, tecnología de la información y, en particular, entidades del sector de la salud pública.

Black Basta

Black Basta es un ransomware que también puede propagarse a través de la explotación de vulnerabilidades en el software de la víctima, como sistemas operativos o aplicaciones no actualizadas. Por esta razón, es importante mantener actualizado el software de seguridad y evitar hacer clic en enlaces o descargar archivos de fuentes desconocidas para evitar su infección.

BlackCat

BlackCat es un modelo de ransomware como servicio (RaaS), el cual se basa en una estructura de marketing de afiliados. Al operar bajo el modelo RaaS, BlackCat no aloja ni distribuye el malware por sí mismo, sino que se apoya en terceros para hacerlo. Esto les permite evitar la responsabilidad legal y también les ayuda a eludir la detección por parte del software antivirus.

Royal

Royal es un tipo de ransomware que se caracteriza por cifrar los archivos y agregar la extensión «.royal» a sus nombres. Además, suele crear un archivo de texto llamado «README.TXT», que contiene una nota de rescate.

Los ciberdelincuentes detrás de este malware buscan extorsionar a sus víctimas. Anteriormente, estos mismos atacantes utilizaban los ransomwares BlackCat y ZEON (este último genera notas de rescate similares a las del ransomware CONTI) en sus operaciones.

Phobos

Phobos, nombrado en honor al dios griego del miedo y el horror, es un tipo de ransomware que tiene una estrecha relación con otros dos tipos de virus conocidos por su estructura y enfoque: Crysis y Dharma.

Crysis fue detectado por primera vez en el año 2016 y se hizo popular cuando su código fuente se publicó en línea. Los ciberdelincuentes actualizaron el código de Crysis para crear Dharma después de que se crearan claves de descifrado para Crysis.

De manera similar, cuando surgieron herramientas de descifrado contra Dharma, el ransomware evolucionó nuevamente, y se le dio el nombre de Phobos a esta versión del año 2018.

Quantum

Quantum es un ransomware que encripta archivos y agrega la extensión «quantum» a los nombres de los archivos. Además, genera un archivo HTML llamado «README_TO_DECRYPT.html» que contiene una solicitud de rescate. Sin embargo, lo que hace a este ransomware atípico es su enfoque.

En lugar de dirigirse a infraestructuras, los responsables de Quantum se centran en los usuarios, y en los últimos meses han destacado por la velocidad de sus ataques. De hecho, según varios informes internacionales, Quantum es uno de los ransomware más rápidos jamás vistos, y se distingue también por las herramientas que utiliza.

Diavol

El FBI ha establecido una conexión formal entre las operaciones del grupo de ransomware Diavol y el Grupo TrickBot, los desarrolladores de malware responsables del conocido troyano bancario y su red de botnets.

TrickBot es una banda cibercriminal de renombre, que además de haber creado el troyano bancario TrickBot, también ha desarrollado los backdoors BazarBackdoor y Anchor. También es uno de los principales proveedores de los famosos «accesos iniciales» utilizados por diferentes grupos de ciberdelincuentes, como Conti y Ryuk.

Además, han creado spywares y diferentes tipos de malware utilizados en organizaciones de todo el mundo.

Lockbit 3.0

LockBit es un nuevo tipo de ransomware antes conocido como el ransomware «ABCD», y se ha convertido en una amenaza singular en el ámbito de las herramientas de extorsión. LockBit es un subtipo de ransomware conocido como «virus de cifrado» que exige un rescate monetario a cambio de descifrar archivos. Se enfoca principalmente en empresas y organizaciones gubernamentales, en lugar de particulares.

Cómo protegernos de una amenaza

Para no volver a infectarse de malware lo mejor es llevar una buena política de prevención. Eso pasa por cumplir una serie de recomendaciones muy concretas:

Fuentes fiables

Siempre debes instalar software de fuentes de confianza como las tiendas de apps propias del sistema operativo (App Store, Play Store, Software Ubuntu, Microsoft Store,…) o desde la web oficial del desarrollador del software que buscas. Por ejemplo, si deseas instalar Firefox y Acrobat Reader debes descargar desde la página oficial del proyecto de Mozilla y desde la web oficial de Adobe. Si usas fuentes desconocidas como Softonic, Download.com, Soft32.com, cnet.com, sitios similares a éste o webs dudosas, puede que lo que te descargues no sea exáctamente el programa. O si lo es, puede que su instalador o alguno de sus archivos esté modificado para infectarte. Esta recomendación también sirve para los controladores y drivers, que siempre debes descargarlos desde las webs oficiales.

Evita software pirata

El software pirata se descarga desde webs poco seguras, además de que pueden contener programas Keygen o Cracks que podrían contener código malicioso e infectar tu sistema. Por tanto, usar software pirata es otra de las formas de infectarse de malware.

Medios extraíbles conocidos

Especialmente los pendrives se han convertido en otra fuente de malware bastante común. No solo porque pueden estar infectados y poder transmitir la infección de un ordenador a otro, sino porque son una herramienta que es usada por los ciberdelincuentes para infectar redes y sistemas. Por ejemplo, en ocasiones los dejan aparentemente «abandonados» para que la víctima caiga en la trampa y lo conecte a su equipo para ver qué contiene.

Contar con un buen programa antivirus y tenerlo actualizado

Los antivirus no son garantía de que no te infectes, pero si dispones de uno bueno, con una base de firmas actualizada, será menos probable que te puedas infectar. En nuestra guía sobre los mejores antivirus tienes algunas recomendaciones (Mejores antivirus para Android / Windows).

Mantente actualizado

Tanto el sistema operativo Windows/macOS/Linux/etc como el resto de software que tienes instalado. Eso puede parchear muchas vulnerabilidades que pueden ser explotadas para infectar, robar información, o escalar privilegios en el sistema.

Ignora emails sospechosos

El correo es otra fuente popular de contagio, especialmente de ransomware. Puede que te encuentres con correos electrónicos de Correos, de Endesa, de un banco, o de Hacienda, con archivos adjuntos. Los mensajes suelen alarmar al usuario para que descargue el archivo adjunto y así infectarlo. Estas entidades no suelen enviar emails con adjuntos, usan otras vías, por tanto sospecha. Por ejemplo, hace un tiempo me llegó un email de una tal Patricia que me decía que tenía varias facturas sin pagar, y que para evitar una sanción fiscal debía de abonar ya los pagos. Me adjuntaba un supuesto PDF con las facturas, y tenía extensión .pdf.iso. Algo muy muy sospechoso. Debes eliminar estos emails y nunca descargar los adjuntos.

Navegación segura

Configura adecuadamente tu navegador web para evitar ciertos pop-ups, y otras amenazas. Navegar con un navegador con una buena política de seguridad, privacidad y anonimato, que elimine cookies, etc., puede ser una ayuda extra para todo lo anterior. No obstante, el usuario puede ser el problema si navega por páginas webs no seguras HTTP en vez de certificadas HTTS, o donde hay anuncios y ventanas emergentes que te incitan a descargar supuestas soluciones, etc.

Redes seguras

Siempre debes conectarte a redes seguras, y eso incluye tanto redes cableadas, WiFi, y también otras tecnologías de conexión como Bluetooth. Siempre que no necesites estas redes debes desactivar en la configuración de tu sistema. Eso evitará que puedan ser aprovechadas por terceros malintencionados. Las redes WiFi abiertas (desprotegidas sin contraseña) o públicas son otro gran problema para la seguridad que deberías evitar.

Backups o copias de seguridad

No debería hacer falta recordar la importancia de realizar backups o copias de seguridad periódicas. La frecuencia de las copias de seguridad debería ser directamente proporcional al valor de los datos que manejas. Si tienes datos o archivos muy importantes, deberían ser mucho más frecuentes. Así evitarás que un fallo técnico, malware (especialmente ransomware), etc., pueda dejarte sin esos valiosos datos. Las copias de seguridad deberían estar bien documentadas o etiquetadas con la fecha en la que se hicieron, además de estar en medios lo más seguros posibles. Es decir, medios extraíbles fiables y robustos, como memorias USB, etc. Los medios ópticos no son demasiado recomendables debido a que se pueden deteriorar o rayar con facilidad. Si estos consejos llegan tarde y ya estás infectado, sigue los pasos de nuestras guías para poder librarte de todo ese malware que tanto te molesta.