El grupo de ransomware LockBit 3.0 mostró una incesante actividad el pasado mes, llegando a atacar empresas españolas como Telepizza o el concesario Covesa. Sin embargo, pese a su movimiento (realizó 93 ataques exitosos) se vio superado por otra familia de malware: Cl0p.
El auge de esta familia se debe a la amplia campaña GoAnywhere. A través de esta pudo intervenir con éxito más de 104 organizaciones aprovechando una vulnerabilidad de día cero en el software de transferencia 'segura' de archivos GoAnywhere MFT.
Muy por debajo de estas dos variantes encontramos a ya clásicos como Black Basta o ALPHV. El top 5 lo completa Royal.
Todos estos datos provienen de estadísticas recopiladas por el investigador de seguridad Marcelo Rivero, especialista en ransomware de Malwarebytes y que suele rastrear la información publicada por estos grupos de ciberdelincuentes en sus páginas de filtraciones de la dark web.
El tercer mes del año también se caracterizó por una actividad 'intrigante' e otras pandillas de ransomware, como DarkPower, que ha estado apagando y encendiéndose durante el intervalo, o BianLian, que cambió su enfoque de encriptar archivos por completo a una pura extorsión de fuga de datos.
El caso de Dark Power merece hacer un inciso, ya que está escrito en el oscuro lenguaje de programación Nim. Este logra crear claves de cifrado únicas para cada máquina objetivo, lo que dificulta el desarrollo de una heramienta de descifrado genérica.
Los países más atacados
EE.UU. se lleva la palma por haber sido el principal objetivo de los cibermalos. El 47% de los ataques de pandillas de ransomware apuntaron hacia ella. Muy por detrás aparece Reino Unido, con solo un 7%. Bastante cerca están Canadá (6%), India (4%) o Alemania (2%). En cuanto a España, solo un 2% de estas amenazas miraron hacia nuestro país, un porcentaje que comparte con territorios vecinos como Francia o Italia.
Investigaciones de Malwarebytes destacan el sesgo que tienen estos grupos para atacar países de habla inglesa, algo que se ha visto con Cl0p. EE.UU., Canadá, Reino Unido y Australia representaron el 69 % de los ataques de Cl0p conocidos, y Canadá y Australia sufrieron más ataques que países con poblaciones y economías más grandes, como Alemania y Francia.
En cuanto a los sectores que han sido diana en más ocasiones encabeza el listado el sector Servicios, recibiendo un 25% de los ataques de ransomware. En segunda posición está la Logística, a la que suceden el Retail (8%) y los Servicios TI (8%).