El ataque Wannacry ha devuelto a la primera plana nacional e internacional la importancia de la ciberseguridad, marcando un claro antes y después en la cobertura mediática sobre ciberataques, y en donde el ransomware ha dejado de ser la preocupación solamente de los responsables de la seguridad de TI para pasar a serlo para todo el mundo. Es por ello que desde Sophos se han analizado las familias de ransomware y vectores de ataque más prolíficos que se han sucedido más recientemente (de octubre de 2016 a abril de 2017), desvelándose que España ocupa el octavo puesto a nivel europeo, en una lista que encabezan Gran Bretaña, Bélgica y Países Bajos.
Este estudio no incluye el estallido de WannaCry de mediados de mayo, pero incorpora a Cerber que es más o menos comparable. Los datos se recopilaron utilizando las búsquedas realizadas desde ordenadores de usuarios. En primer lugar, los laboratorios observaron familias de ransomware específicas y descubrieron que Cerber y Locky eran, con mucha diferencia, las más activas. Cerber representó la mitad de toda la actividad durante el periodo y Locky, un cuarto de la misma.
En Europa, los países con más actividad de ransomware son, por orden de mayor a menor: Gran Bretaña, Bélgica, Países Bajos, Italia, Francia, Alemania, Suiza, España, Dinamarca y Finlandia.
Mientras que a nivel mundial, el listado queda ordenado con Gran Bretaña, Bélgica, Países Bajos y EEUU encabezando los primeros puestos y el mayor pico de actividad durante la primera mitad de marzo. La actividad decayó durante un corto periodo de tiempo y volvió a subir en torno al 5 de abril.
A continuación, los laboratorios analizaron los métodos de transmisión de malware y la evolución durante el último año (abril 2016-abril 2017) y descubrieron, entre otras cosas, que el malware llegaba a través de distintos ángulos de ataque: correos basura, malvertising y Drive-by-download. El vector de ataque predominante fue a través de archivos adjuntos a emails, en particular documentos PDF y de Office. La mayor parte de los ataques de spam malicioso que usaban archivos adjuntos no ejecutables están, de un modo u otro, relacionados con infecciones de ransomware. Se vio una gran caída en spam malicioso a partir de diciembre de 2016.