Mapas sobre ataques de Ransomware

El ransomware se ha convertido en un problema con entidad propia. Conocer no sólo los ataques entre países sino también cuántos incidentes corresponden a malware, entre éstos los casos de ransomware, y tal vez los vectores de ataque podría ser muy interesante de cara a comprender mejor el estado actual de un vistazo.

Hoy día son conocidos los mapas de visualización de amenazas en tiempo real. Casi todos se basan en un mapamundi sobre el cual se dibujan los ataques que se van detectando, empleando un código de colores que muestran, como mínimo, el tipo de ataque en base a alguna clasificación.

Algunos permiten seleccionar países para observar las detecciones de forma mucho más específica. Ejemplos de mapas: Talos, Threatbutt, Check Point Software, Fortinet, FireEye, Kaspersky, Bitdefender, ArborNetworks, Spamhaus, SonicWall,Netscout y LookingGlass.

Inicialmente se centraron más en ataques sin considerar infecciones, aunque ya algunos establecen alguna categoría por la cual pueden obtenerse estadísticas sobre si el ataque involucra malware. De los anteriores, Bitdefender clasifica en tres tipos los ataques: ataque, infección y spam. Talos simplifica mostrando spam y malware. LookingGlass muestra en el mapamundi infecciones.

Instantánea del mapa de amenazas LookingGlass

SpamHaus ofrece un mapa centrado en actividad de botnets, destacando servidores de comando y control (C2, C&C) empleados por las botnets. TrendMicro ya ofrecía un mapa similar, aunque actualmente no está accesible. Esto es muy interesante, porque los servidores C2 son la vía habitual de comunicación entre los atacantes y su granja de equipos infectados.

Mapa de actividad de botnets (Spamhaus)

¿Y para el ransomware?

Ya hay mapas centrados en esta amenaza, aunque no son tan habituales. Tal vez el más conocido sea el mapa creado por Google, aunque sólo cubre casos en Estados Unidos.

Ransomware War (Google)

Otras variantes del mapa anterior son Statescoop y K-12 Cyber Incident Map. Statescoop mapea casos de ransomware conocidos ofreciendo un resumen de la información sobre los incidentes, por ejemplo la cantidad demandada por los atacantes y si fue pagada o no.

Cabe detacar que de los mapas generales, SonicWall ha incorporado nuevos resultados como parte de sus analíticas en los cuales se puede seleccionar diferentes características. Una de ella es el ransomware.

A modo de conclusión, no son muchos los mapas de amenazas que están actualizando sus visualizaciones para mostrar diferentes categorías o incidentes de malware. La operativa tampoco es fácil de dilucidar. El hecho es que los datos referentes a malware y operativa son valiosos activos para los informes anuales, allí podremos encontrar mucha información desglosada, aunque no útil de un vistazo, en un momento dado.

Comprender la operativa actual y relacionar a los diferentes actores es un aspecto crucial para comprender el contexto en el que nos encontramos. Las noticias actuales sobre malware y ransomware resultan en ocasiones muy abrumadoras (en especial cuando el nombre de una gran compañía aparece en portada), pero en la mayoría de los casos la operativa del malware se rige por principios similares (por ejemplo, explotar una vulnerabilidad crítica). La principal vía actual para mitigar estas amenazas es la concienciación y las medidas de prevención. Lo segundo tal vez no llegue sin lo primero, y lo primero será difícil de asumir sin medidas que permitan vincular de forma mucho más certera la operativa del malware desde un punto de vista más cercano a todos.

Más información

• https://www.techrepublic.com/article/revil-continues-ransomware-attack-streak-with-takeover-of-laptop-maker-acer/
• https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/
• https://www.crn.com/news/security/revil-ransomware-targets-acer-s-microsoft-exchange-server-source
• https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time

Fuente: Hispasec

Suscríbete a nuestro Boletín