Durante 2017, el 26.2% de los objetivos del ransomware han sido usuarios empresariales, en comparación con 22.6% en 2016, según datos de Kaspersky Lab.
La mayoría de ataques durante el año tuvieron como objetivo redes corporativas en todo el mundo y cambiaron para siempre el panorama de esta amenaza.
Estos ataques incluyeron a WannaCry el 12 de mayo, ExPetr el 27 de junio y BadRabbit a fines de octubre.
Todos estos ataques utilizaron exploits diseñados para afectar a las redes corporativas.
Las empresas también fueron atacadas por otras clases de ransomware y, en total, Kaspersky Lab evitó infecciones de este tipo en más de 240,000 usuarios corporativos.
Otras tendencias del ransomware en 2017
Aproximadamente el 65% de las empresas que fueron afectadas por ransomware en 2017 perdió el acceso a una cantidad significativa de datos o incluso a todos sus datos; 1 de cada 6 de las que pagaron nunca recuperó sus datos. Estas cifras coinciden en gran medida con las de 2016.
Poco menos de 950,000 usuarios únicos fueron atacados en 2017, en comparación con cerca de 1.5 millones en 2016, y la diferencia entre ellos es reflejo de la metodología de detección (por ejemplo, los medios a menudo relacionados con la descarga de cryptomalware ahora se detectan mejor con las tecnologías heurísticas y no se clasifican junto con los veredictos relacionados con el ransomware que recopila la telemetría de Kaspersky).
Hubo una disminución en cuanto a nuevas familias de ransomware (38 en 2017, frente a 62 en 2016), con un aumento equivalente en las modificaciones al ransomware existente (más de 96,000 nuevas modificaciones detectadas en 2017, en comparación con 54,000 en 2016). El aumento en las modificaciones puede ser reflejo de los intentos de los atacantes por confundir su ransomware a medida que las soluciones de seguridad se hacen mejores para detectarlos.
A partir del segundo trimestre de 2017, varios grupos finalizaron sus actividades de ransomware y publicaron las claves necesarias para descifrar los archivos. Estos incluyen AES-NI, xdata, Petya/Mischa/GoldenEye y Crysis. Crysis reapareció más tarde, posiblemente resucitado por un grupo diferente.
La tendencia creciente de compañías infectadas a través de sistemas de escritorio remoto continuó en 2017, cuando este enfoque se convirtió en uno de los principales métodos de propagación para varias familias diseminadas, como Crysis, Purgen / GlobeImposter y Cryakl.