Después de una disminución mensual durante las primeras semanas de 2023, la cantidad de ataques de ransomware rastreados en la naturaleza se disparó un 45 % en febrero, en gran parte impulsado por un aumento en la actividad de LockBit, según datos de propiedad publicados hoy por NCC Group. .
El Equipo de Inteligencia de Amenazas Globales de NCC registró 240 ataques de ransomware en febrero, el mayor volumen que sus investigadores hayan registrado durante este período.
De estos, LockBit representó 129 (54%), dijo NCC, frente a los 50 ataques, incluido el golpe en Royal Mail, en enero. LockBit fue una “fuerza impulsora” detrás de los ataques a los sectores de consumo no cíclicos, industriales y cíclicos de consumo.
“En febrero, observamos un aumento en la actividad de ransomware, como se esperaba al salir del período típicamente más tranquilo de enero”, dijo Matt Hull, jefe global de inteligencia de amenazas de NCC.
“Sin embargo, el volumen de ataques de ransomware en enero y febrero es el más alto que hemos monitoreado para este período del año. Es una indicación de cómo está evolucionando el panorama de amenazas y los actores de amenazas no muestran signos de reducir las actividades de ransomware.
“Al observar a los actores de amenazas más frecuentes, parece que Lockbit 3.0 continuará donde lo dejó en 2022, y ya está liderando el camino como el actor de amenazas más frecuente de 2023 por cierto margen”, dijo. “BlackCat también se mantiene constante, mientras que el siempre esporádico BianLian volvió a estar entre los tres primeros”.
El equipo de NCC atribuyó 31 ataques (13 % del total) a BlackCat y 20 (8 %) a BianLian, una operación de ransomware relativamente nueva, que surgió por primera vez en julio de 2022, que está demostrando ser muy eficaz.
Los actores detrás de esto están altamente calificados y demuestran una seguridad operativa excepcional, y como tal realmente han alcanzado su ritmo en los últimos meses.
Tras el lanzamiento de una herramienta de descifrado para BianLian, la pandilla cambió recientemente su enfoque para concentrarse menos en el cifrado con ransomware y más en el robo de datos y la extorsión.
NCC también descubrió que América del Norte sigue siendo el objetivo de aproximadamente el 50 % de la actividad global de ransomware, con Europa representando el 23 % de las víctimas y Asia el 15 %. Los sectores más afectados siguen siendo el industrial y el de consumo cíclico, que representan el 33 % y el 15 % de las víctimas respectivamente, mientras que el consumo no cíclico (servicios públicos, atención médica y otros productos básicos de consumo) representó el 8 % de las víctimas en febrero, en gran parte como resultado de LockBit. actividad.
Mientras tanto, el desmantelamiento de la operación de ransomware Hive a fines de enero en una operación internacional coordinada dirigida por el FBI, que pirateó la infraestructura de Hive en julio de 2022, robó sus claves de descifrado y se las entregó a las víctimas. Los pandilleros también fueron sancionados por las autoridades estadounidenses y británicas.
Aunque la operación contra Hive fue claramente exitosa en la medida en que sus capacidades operativas se vieron interrumpidas, el equipo de amenazas de NCC evalúa que, dado que probablemente estén protegidos por el estado ruso, es casi seguro que sus miembros continuarán operando bajo una apariencia diferente.
“Será interesante ver cómo se desarrolla el desmantelamiento de Hive por parte del Departamento de Justicia de los Estados Unidos”, dijo Hull. “Si bien esto significa que sus operaciones digitales han sido eliminadas, es poco probable que los miembros de Hive desaparezcan por completo. Nuestro equipo de inteligencia de amenazas continuará vigilando de cerca cómo esto afecta el panorama de amenazas”.