El ataque Wannacry puso en boca de todos el ransomware, ese tipo de ataques donde los delincuentes cifran la información de los PC de las empresas y piden un rescate en bitcoins por su liberación. Sin embargo, el ransomware existía mucho antes de Wannacry y va a seguir siendo un problema molesto para las empresas después del famoso ataque. Según un análisis de Sophos de las familias de ransomware y vectores de ataque más prolíficos que se han sucedido más recientemente (concretamente entre octubre de 2016 y abril de 2017), España ocupa el octavo puesto a nivel europeo entre los países que más sufren esta epidemia. La lista de Sophos la encabezan Gran Bretaña, Bélgica y Países Bajos.
Este estudio no incluye el estallido de WannaCry de mediados de mayo, pero incorpora a Cerber, que es más o menos comparable. Los datos se recopilaron utilizando las búsquedas realizadas desde ordenadores de usuarios. En primer lugar, los laboratorios observaron familias de ransomware específicas y descubrieron que Cerber y Locky eran, con mucha diferencia, las más activas. Cerber representó la mitad de toda la actividad durante el periodo y Locky, un cuarto de la misma.
Cerber ha experimentado muchas mutaciones diseñadas para eludir antivirus y sandboxes. Una versión fue distribuida a través de correos basura que se hacían pasar por servicios de entrega a domicilio. Por su parte, Locky suele renombrar los archivos importantes de sus víctimas para añadirles la extensión .locky. Al igual que Cerber, sus tácticas y caretas se han ido transformando con el paso del tiempo. En Europa, los países con más actividad de ransomware son, por orden de mayor a menor: Gran Bretaña, Bélgica, Países Bajos, Italia, Francia, Alemania, Suiza, España, Dinamarca y Finlandia.
A nivel mundial, el listado de los paises más asediados por el ransomware queda ordenado con Gran Bretaña, Bélgica, Países Bajos y EEUU encabezando los primeros puestos. La actividad decayó durante un corto periodo de tiempo y volvió a subir en torno al 5 de abril, según Sophos. Los laboratorios del fabricante también analizaron los métodos de transmisión de malware y la evolución durante el último año (abril 2016-abril 2017) y descubrieron, entre otras cosas, que el malware llegaba a través de distintos ángulos de ataque: correos basura, malvertising y drive-by-download.
El vector de ataque predominante fue a través de archivos adjuntos a e-mails, en particular documentos PDF y de Office. La mayor parte de los ataques de spam malicioso que usaban archivos adjuntos no ejecutables están, de un modo u otro, relacionados con infecciones de ransomware. Además, Sophos ha visto una gran caída en spam malicioso a partir de diciembre de 2016.