En el transcurso de 2021, hemos visto un nivel sin precedentes de acciones legales contra los actores de #ransomware, una tendencia que continuó en el cuarto trimestre.

A fines de octubre, Europol anunció el arresto de 12 personas sospechosas de estar afiliadas a las operaciones de ransomware LockerGoga, MegaCortex y Dharma. También en octubre, el prolífico grupo de ransomware REvil se vio obligado a cesar sus actividades después de que sus servidores se vieran comprometidos durante una operación exitosa del Comando Cibernético de EE. UU. Luego, en noviembre, el FBI arrestó a un ciudadano ucraniano y afiliado de REvil presuntamente responsable del devastador ataque de ransomware contra la empresa de software estadounidense Kaseya en julio de 2021; y un ciudadano ruso, acusado de realizar ataques de ransomware REvil contra múltiples objetivos en Texas en agosto de 2019.

El cuarto trimestre marcó más iniciativas anti-ransomware de la Casa Blanca, incluida la firma de la Ley de mejora de la seguridad cibernética K-12, que tiene como objetivo promover el acceso a la información, rastrear mejor los ataques cibernéticos a nivel nacional y proporcionar a los distritos escolares más recursos de seguridad cibernética. La Casa Blanca también organizó una cumbre virtual de ransomware de dos días con la asistencia de representantes gubernamentales de 30 países. Después de la cumbre, los países participantes emitieron una declaración conjunta en la que reconocen "la necesidad de una acción urgente, prioridades comunes y esfuerzos complementarios para reducir el riesgo de ransomware".

Pero no todo fueron buenas noticias. El sector de la salud estuvo involucrado en una serie de incidentes de alto perfil en el cuarto trimestre, incluido un ataque a la sucursal de Los Ángeles de Planned Parenthood en el que se comprometió la información personal de aproximadamente 400,000 pacientes. Un par de semanas después, un ataque a los sistemas de salud de Newfoundland y Labrador, Canadá, resultó en que los actores de amenazas obtuvieran acceso a la información de pacientes y empleados de 14 años.

Las siguientes estadísticas se basan en datos de 149,308 envíos a Emsisoft e ID Ransomware, un servicio que permite a las víctimas identificar qué cepa de ransomware ha cifrado sus archivos cargando la nota de rescate, un archivo cifrado de muestra y/o la información de contacto del atacante. También dirige al usuario a una herramienta de descifrado, en caso de que haya una disponible.

Nota: Estimamos que solo el 25% de las víctimas realizan un envío a Emsisoft o ID Ransomware, por lo que la cantidad real de incidentes probablemente sea significativamente mayor.

Cepas de ransomware más comúnmente reportadas del cuarto trimestre de 2021

El siguiente gráfico muestra las 10 cepas más comúnmente reportadas del cuarto trimestre, que en conjunto representaron el 88,70 % de todas las presentaciones de este trimestre. Una familia de ransomware conocida como STOP/Djvu fue, con mucho, la cepa más común, representando el 76,20 % de todos los envíos.

1. STOP (Djvu): 76.20%

2. Phobos: 2.90%

3. Zeppelin: 1.80%

4. GlobeImposter 2.0: 1.30%

5. eCh0raix / QNAPcrypt: 1.20%

6. Magniber: 1.20%

7. LolKek: 1.20%

8. Makop: 1.10%

9. Dharma (.cezar family): 1.00%

10. LockBit: 0.80%

Cepas de ransomware notificadas con mayor frecuencia en el cuarto trimestre de 2021 (se excluye STOP)

El siguiente cuadro muestra las 10 cepas más comúnmente reportadas de Q4 con envíos STOP excluidos.

1. Phobos: 12.10%

2. Zeppelin: 7.70%

3. GlobeImposter 2.0: 5.50%

4. eCh0raix / QNAPcrypt: 5.20%

5. Magniber: 5.20%

6. LolKek: 5.20%

7. Makop: 4.60%

8. Dharma (.cezar family): 4.40%

9. LockBit: 3.50%

10. 0XXX: 3.00%

La mayoría de los envíos de ransomware por país

El siguiente gráfico muestra los 10 países que representaron la mayor cantidad de envíos de ransomware, incluidos los envíos de STOP. Estos 10 países representaron el 61,80% de todas las presentaciones globales este trimestre.

1. Indonesia: 18.40%

2. India: 13.60%

3. Egypt: 8.10%

4. Brazil: 6.20%

5. Pakistan: 4.00%

6. United States: 3.00%

7. South Korea: 2.90%

8. Algeria: 2.30%

9. Germany: 1.80%

10. Bangladesh: 1.50%

Desglose

Hubo una caída en los envíos de ransomware este trimestre, con envíos que disminuyeron de 181, 051 en el tercer trimestre a 149,308 en el cuarto trimestre, una disminución del 17,53 %.

STOP/Djvu fue, con mucho, la variante de ransomware enviada con más frecuencia en el cuarto trimestre, representando el 76,20 % de todos los envíos, un poco menos que el 76,40 % del tercer trimestre. STOP generalmente se propaga a través de software pirateado y herramientas de craqueo y, en consecuencia, tiende a afectar a un gran volumen de usuarios domésticos.

En el cuarto trimestre, vimos una nueva incorporación a la lista de las cepas más comúnmente presentadas: LolKek. LolKek es una variante de BitRansomware, una cepa que existe desde mediados de 2020. REvil, la séptima cepa de ransomware más común en el tercer trimestre, estuvo ausente de la lista de los 10 principales en el cuarto trimestre, posiblemente debido a la operación Cyber ​​Command antes mencionada que llevó a REvil a cerrar la tienda.

Solo 10 países representaron más de 6 de cada 10 (61,80 %) de todos los envíos de ransomware globales este trimestre. India, que ha representado la mayor cantidad de envíos cada trimestre desde que comenzamos a registrar estos datos, no fue el principal contribuyente este trimestre. En el cuarto trimestre, ese título fue para Indonesia, que realizó el 18,40 % de todas las presentaciones, frente al 15,10 % del tercer trimestre. El Reino Unido y Filipinas, que representaron el 2,3 % y el 1,5 % de las presentaciones respectivamente en el tercer trimestre, fueron reemplazados en el cuarto trimestre por Argelia (2,3 %) y Alemania (1,8 %).