En 2016 se produjeron 638 millones de ataques cibercriminales con ransomware

SonicWall, el partner de seguridad de confianza que protege más de un millón de redes empresariales a nivel mundial, anuncia las conclusiones de su Annual Threat Report, que destaca los avances más notables hechos por los profesionales de la seguridad y los cibercriminales durante el 2016. El informe ha sido redactado a partir de datos recopilados a lo largo del 2016 por la Global Response Intelligence Defense (GRID) Threat Network de SonicWall con datos diarios de más de un millón de sensores de seguridad en aproximadamente 200 países y regiones.

De acuerdo con el 2017 SonicWall Annual Threat Report, 2016 puede considerarse como un año exitoso desde la perspectiva tanto de los profesionales de la seguridad como de los cibercriminales. A diferencia de años pasados, SonicWall ha constatado que el volumen de muestras únicas de malware recogidas ha caído hasta los 60 millones en comparación con los 64 millones del 2015, una reducción del 6,25 por ciento. Los intentos de ataques de malware totales descendieron por primera vez en años hasta los 7.870 millones desde los 8.190 millones del 2015. Sin embargo, los cibercriminales obtuvieron dinero rápido gracias al ransomware, unas ganancias alimentadas en parte por el aumento de ransomware como servicio (RaaS por sus siglas en inglés).

“Sería inexacto decir que el panorama de amenazas disminuyó o se amplió en 2016 – más bien, parece haber evolucionado y cambiado «, dijo Bill Conner, presidente y CEO de SonicWall. «La ciberseguridad no es una batalla de desgaste; es una carrera armamentista, y ambas partes están demostrando ser excepcionalmente capaces e innovadoras».

Avances en la Industria de la Seguridad

Los ataques de malware en el Punto de Venta disminuyeron un 93 por ciento entre 2014 y 2016.

Las brechas de seguridad en grandes empresas de distribución al por menor en 2014 llevaron a las compañías a adoptar proactivamente medidas de seguridad. Desde entonces, la industria ha visto la implementación de sistemas POS basados en chips, el uso de la lista de verificación PCI-DDS (Payment Data Industry Standard) entre otras medidas de seguridad.

● En 2014, la GRID Threat Network de SonicWall observó un aumento del 333% en el número de nuevas contramedidas de malware de POS desarrolladas y desplegadas en comparación con el año anterior.
● La GRID Threat Network de SonicWall redujo el número de nuevas variantes de malware POS en un 88% año tras año y un 93% desde 2014. Esto supone que los ciberdelincuentes están cada vez menos interesados en dedicar tiempo a la innovación de malware POS.

El trafico encriptado de Secure Sockets Layer/Transport Layer Security (SSL/TLS) se incrementó en un 38%, en parte como respuesta a la creciente adopción de aplicaciones en la nube.

Angler, Nuclear y Neutrino, los exploit kits dominantes, desaparecieron a mediados de 2016

A principios del 2016, el mercado de malware estaba dominado por un puñado de exploit kits, especialmente Angler, Nuclear y Neutrino. Tras la detención de más de 50 piratas informáticos rusos que aprovecharon el troyano Lurk para cometer fraude bancario, la GRID Threat Network de SonicWall vio que el exploit kit de Angler dejó de aparecer, lo que llevó a muchos a creer que los creadores de Angler estaban entre los arrestados . Durante un tiempo después de la desaparición de Angler, Nuclear y Neutrino vieron incrementado su uso, para luego desaparecer rápidamente también.

• La GRID Threat Network de SonicWall notó que los exploit kits restantes comenzaron a fragmentarse en múltiples versiones más pequeñas para llenar este vacío. Para el tercer trimestre de 2016, Rig había evolucionado en tres versiones aprovechando diferentes patrones de URL, encriptación de página de aterrizaje y cifrado de entrega de carga.
• Al igual que con el spam y otros métodos de distribución en 2016, SonicWall comprobó que los exploit kits pasaron a formar parte de la máquina de entrega de ransomware, haciendo variantes de Cerber, Locky, CrypMIC, BandarChor, TeslaCrypt y otras cargas primarias a lo largo del año. Sin embargo, los exploit kits nunca se recuperaron del golpe masivo que recibieron a principios de año con la destrucción de las versiones dominantes.

Avances de los cibercriminales

El uso de Ransomware creció 167 veces año tras año y fue el principal contenido de las campañas de correo electrónico malicioso y de los exploit kits.

La GRID Threat Network de SonicWall detectó un incremento de 3,8 millones de ataques de ransomware en 2015 a 638 millones en 2016. El aumento de RaaS hizo que el ransomware fuera significativamente más fácil de obtener y desplegar. Este crecimiento sin precedentes ha sido probablemente impulsado por tres factores: el fácil acceso al mercado clandestino, el bajo coste de llevar a cabo un ataque de ransomware, la facilidad de su distribución y el bajo riesgo de ser capturado o castigado.

● El ransomware siguió aumentando durante todo el año pasado, desde marzo de 2016, cuando los ataques de ransomware se dispararon de 282.000 a 30 millones en un solo mes, y continuó hasta el cuarto trimestre, que se cerró con 266.5 millones de intentos de ataque de ransomware en tres meses.

● El resultado más popular de las campañas de correo electrónico malicioso en 2016 fue el ransomware, típicamente Locky, que se desplegó en aproximadamente el 90 por ciento de los ataques con Nemucod y en un total de más de 500 millones de ataques a lo largo del año.

● Todos los sectores sufrieron intentos de agresiones con ransomware. Las industrias verticales sufrieron un número similar de ataques, esto incluye a las empresas de ingeniería mecánica e industrial con una media del 15% de los ataques con ransomware, seguidas muy de cerca por los servicios farmacéuticos (13%) y los servicios financieros (13%), y el sector inmobiliario (12%).

«Con el continuo crecimiento del ransomware, la investigación de SonicWall muestra la importancia para las empresas de evaluar su estrategia de cyber-defensa” ha dicho Mike Spanbauer, vicepresidente de Security, Test & Advisory, en NSS Labs. “En 2016 vimos grandes avances por parte de los cibercriminales y creemos que proveedores como SonicWall, que están dispuestos a invertir y desarrollar tecnología y enfoques para vencer al ransomware, ayudarán a la sector de la seguridad a derrotar este creciente método de ataque”.

Los dispositivos Internet of Things se vieron comprometidos a gran escala

Con su integración en el día a día tanto de los negocios como de las personas, los dispositivos IoT proporcionaron un atractivo vector de ataque para los ciberdelincuentes en 2016. Las brechas en la seguridad IoT permitieron a los ciberdelincuentes lanzar los mayores ataques de distribuidos de denegación de servicio (DDoS) de la historia en 2016, aprovechando cientos de miles de dispositivos IoT con débiles contraseñas telnet para lanzar ataques DDoS usando el marco de gestión de la botnet Mirai.

● La GRID Threat Network de SonicWall observó vulnerabilidades en todas las categorías de dispositivos IoT, incluidas las cámaras inteligentes, wearables, instalaciones domóticas, vehículos inteligentes, sistemas de entretenimiento y los terminales inteligentes.

● Durante el punto álgido de la oleada de ataques con Mirai, en noviembre de 2016, la GRID Threat Network de SonicWall observó que Estados Unidos era el principal objetivo, con el 70% de los ataques DDoS dirigidos hacia esa región, seguido por Brasil (14%) y La India (10%).

Los dispositivos AndroidTM Vieron un aumento de las protecciones de seguridad pero se mantuvieron vulnerables frente a ataques superpuestos.

Google trabajó duro en 2016 para corregir las vulnerabilidades y los exploit kits que los ciberdelincuentes habían utilizado contra Android en el pasado, pero los atacantes emplearon nuevas técnicas para superar estas mejoras de seguridad. ,

• La GRID Threat Network de SonicWall observó que los ciberdelincuentes aprovecharon las superposiciones de pantallas para imitar la apariencia de aplicaciones legítimas y engañar a los usuarios para que introdujeran información de inicio de sesión y otros datos. Cuando Android respondió con nuevas características de seguridad para combatir las superposiciones, SonicWall observó que los atacantes evadían estas medidas al convencer a los usuarios para que proporcionaran permisos que permitieran usar superposiciones.

● Las aplicaciones para adultos comprometidas disminuyeron en Google Play, pero los ciberdelincuentes siguieron encontrando víctimas en tiendas de aplicaciones de terceros. El ransomware era una carga común, al igual que las aplicaciones de auto-instalación. La GRID Threat Network de SonicWall contabilizó más de 4.000 aplicaciones distintas con contenidos autoinstalables en solo dos semanas.