Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

  1. STOP (Djvu): 71,70%
  2. Phobos: 8.90%
  3. Dharma (.cezar): 6.90%
  4. REvil / Sodinokibi: 3.20%
  5. Globeimposter 2.0: 2.00%
  6. Makop: 1.80%
  7. Paymen45: 1.60%
  8. LockBit: 1.40%
  9. GoGoogle: 1.30%
  10. Magniber: 1.10%
Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

  1. India: 28,40%
  2. Estados Unidos: 16,10%
  3. Egipto: 11,50%
  4. Indonesia: 10,60%
  5. Pakistán: 8,40%
  6. Brasil: 8,40%
  7. Corea del Sur: 5,50%
  8. Turquía: 4,00%
  9. Filipinas: 3,60%
  10. Argelia: 3,60%
Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

WORDPRESS ESTADISTICAS DE RANSOMWARE

  1. STOP (djvu): 56.00%
  2. Dharma (.cezar family): 12.00%
  3. Phobos: 8.90%
  4. GlobeImposter 2.0: 6.50%
  5. REvil / Sodinokibi: 4.50%
  6. GandCrab v4.0 / v5.0: 3.60%
  7. Magniber: 3.30%
  8. Scarab: 2.00%
  9. Rapid: 1.80%
  10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/