El pasado mes de marzo ha sido, con diferencia, el mes en el que el ransomware, el malware que cifra la información de los usuarios y exige un rescate por su recuperación, ha estado más activo desde que se empezó a hablar de esta amenaza hace ya unos años, debido especialmente a la propagación de numerosas variantes que, en sucesivas oleadas, han llevado las tasas de detección registradas en los servicios de telemetría de ESET a unas cifras que no habíamos visto hasta la fecha.
Entre los países en los que se han observado más detecciones se encuentra España, pero también otros como Japón, Reino Unido, Irlanda o Nueva Zelanda.
Entre las variantes de ransomware que se han observado en el laboratorio de ESET destaca el regreso de TeslaCrypt en la forma de email que suplanta a Correos.
Tras analizarlo, se comprobó que los delincuentes habían realizado pocos cambios: la única novedad importante consistía en haber utilizado credenciales únicas para cada víctima, las cuales deben usarse para acceder al panel de control que permite realizar el pago del rescate.
Otra variante clásica que regresó con fuerza el pasado mes de marzo fue CTB-Locker, en esta ocasión orientado a cifrar archivos en servidores web para afectar así a las webs que alojan. Además, como dato curioso, esta nueva variante permite mantener una conversación con los delincuentes mediante un chat para pedir ayuda o soporte a la hora de pagar el rescate y descifrar los ficheros.
Pero las variantes de ransomware que han conseguido una mayor tasa de propagación a nivel mundial han sido, sin duda, Locky y TeslaCrypt. Usando el email como principal vector de ataque, los delincuentes utilizaron varios asuntos para tratar de engañar a sus víctimas y conseguir que ejecutaran el fichero adjunto malicioso.
Otra técnica utilizada por los delincuentes para propagar estas amenazas ha sido la utilización de publicidad maliciosa en sitios web populares con muchas visitas. Entre las webs afectadas se encontraban algunas de las más visitadas en Estados Unidos. Los delincuentes consiguieron colocar anuncios maliciosos gracias a la compra de dominios expirados de proveedores de publicidad online legítimos.
