Desde principios de año hemos estado observando cómo nuevas variantes de ransomware van apareciendo prácticamente cada semana y generan serios problemas a usuarios de todo el mundo. Una de las variantes más recientes y que ya comentamos en este blog el mes pasado es Locky, un ransomware que, según las investigaciones realizadas, guarda cierta relación con el troyano bancario Dridex.
El email, de nuevo el principal vector de ataque
A pesar de que existen métodos automatizados que permiten infectar a usuarios con sistemas y aplicaciones vulnerables mediante kits de exploits, parece que los delincuentes que se encuentran detrás de esta campaña han confiado de nuevo en el correo electrónico como método principal de propagación.
De esta forma, y con un mensaje en inglés que lleva días inundando las bandejas de entrada de usuarios de todo el mundo, los delincuentes intentan convencer al usuario para que abra el fichero. Para conseguirlo, se intenta convencer al usuario indicándole que hay un problema con un pedido, una factura impagada o cualquier otra excusa.
Obviamente, el objetivo final es que se descomprima y ejecute el fichero adjunto, fichero que contiene un archivo Javascript y que las soluciones de ESET detectan como JS/TrojanDownloader.Nemucod. Este malware actúa en realidad como pasarela a otros códigos maliciosos, puesto que, una vez comprometido el sistema, puede descargar lo que le apetezca a los delincuentes, siendo en este caso variantes de los ransomware TeslaCrypt y Locky.
El resultado final es bien conocido por todos. El ransomware descargado por Nemucod comenzará a cifrar los archivos existentes en el sistema, eliminará los originales y cambiará el fondo de pantalla con instrucciones para pagar el rescate solicitado por los criminales.
Propagación de esta oleada de malware en el mundo
Cada vez que se observa que una variante de ransomware está infectando a una cantidad importante de usuarios, se intenta acotar su propagación y comprobar si es una campaña dirigida a un país en concreto, como la infame campaña que suplantó a Correos España durante varios meses.
En este caso, observamos que, desde la primera detección de Locky a mediados de febrero, la tasa de detecciones no ha dejado de crecer en las sucesivas oleadas de propagación de ransomware que se han producido desde entonces. En la actualidad se están observando picos de detección por encima del 40 % de las muestras enviadas a nuestros laboratorios por parte de los usuarios gracias al sistema Live Grid, integrado en las soluciones de seguridad de ESET.
A nivel mundial, observamos una propagación similar por países afectados en anteriores campañas de ransomware, siendo la región de Europa, Norteamérica, Australia y, especialmente, Japón, los países que más detecciones han tenido hasta el momento.
En lo que respecta a España, como ya hemos dicho, las detecciones de Nemucod, el malware encargado de descargar estas variantes de ransomware, ya han superado el 40 % del total de muestras detectadas. Es posible que esta cifra aumente, puesto que nos encontramos en los días en que se produce el pico de propagación, por lo que conviene extremar las precauciones.
Es importante recordar que estos porcentajes corresponden al número de detecciones realizadas por las soluciones de ESET instaladas en los ordenadores de los usuarios. Esto significa que el antivirus ha conseguido detectar la amenaza y, en la mayoría de ocasiones, bloquearla antes de que esta consiga infectar el sistema.
Precisamente para favorecer este tipo de detecciones tempranas, cada vez que aparece una amenaza especialmente peligrosa, recomendamos a los usuarios de ESET activar el sistema Live Grid. De esta forma, colaboran a que las detecciones se hagan más rápidamente y se protegen de forma más efectiva frente a ellas.
Conclusión
Esta nueva oleada de ransomware demuestra que esta amenaza está más viva que nunca y que los delincuentes confían en su efectividad para conseguir dinero de forma efectiva. Por eso es vital que tomemos las medidas adecuadas para no caer víctimas de esta amenaza y, sobretodo, evitar pagar el rescate en el caso de que nuestros ficheros se vean afectados.
De no hacerlo, los delincuentes se habrán salido con la suya y seguirán generando nuevas variantes que les reportarán mayores beneficios. Siempre estamos a tiempo de aplicar los consejos que ya hemos repetido varias veces y contar con una copia de seguridad actualizada.