Los volúmenes generales de actividad de ransomware se redujeron un poco durante el tercer trimestre de 2022, ya que la clandestinidad ciberdelincuente se reagrupó y se reorientó tras la aparente desaparición de la operación Conti y el posterior aumento de LockBit, pero un ligero repunte en septiembre puede presagiar nuevas campañas, según un informe. evaluación del panorama de amenazas realizada por Digital Shadows.
Riam Kim-McLeod de Digital Shadows dijo que la actividad general disminuyó un 10,5% desde el segundo trimestre (Q2), siendo agosto el mes más tranquilo observado durante el período en términos de víctimas totales, llegando a poco más de 150 víctimas nombradas en comparación con un año. máximo de poco más de 300 en mayo. Septiembre vio más cerca de 250 víctimas nombradas.
Como observaron e informaron anteriormente otros, la operación LockBit fue, con cierto margen, el cártel más activo de actores de ransomware durante el período, consolidando su dominio tras la salida de Conti y el lanzamiento en junio de la versión 3.0 de su casillero.
LockBit aumentó su “cuota de mercado” general del 32,8 al 35,1 % de las víctimas en el tercer trimestre (Q3), y representó el 40 % de las víctimas en septiembre, a pesar de las críticas de sus rivales, e incluso distribuyó ataques cibernéticos de denegación de servicio (DDoS) contra su infraestructura.
“El éxito de LockBit tiene un precio: el grupo atrae cada vez más el resentimiento de los grupos de amenazas competidores y posiblemente de los ex miembros”, escribió Kim-McLeod.
“LockBitSupp [the group’s public spokesperson] con frecuencia, y de manera infame, se involucra en disputas públicas con otros representantes de ransomware, incluidos los representantes de Conti y ‘Alphv’. Es realmente posible que un grupo rival apunte a LockBit bajo la apariencia de represalia por la violación de Entrust.
“A mediados de septiembre de 2022, un usuario publicó en Twitter un constructor de LockBit 3.0 filtrado que afirmaba que su equipo logró ‘piratear varios servidores LockBit‘. LockBit niega las afirmaciones: LockBitSupp alegó que el grupo no fue pirateado, sino que culpó a un antiguo desarrollador descontento por la filtración.
“Independientemente de la fuente, el constructor parece ser legítimo, lo que probablemente tendrá consecuencias en el cuarto trimestre de 2022 si otros actores de amenazas usan al constructor como arma para sus propósitos”, agregó.
Pero LockBit no es el único grupo en ascenso después de la caída pública de Conti, con Black Basta, Hive Leaks y Alphv/BlackCat también haciendo olas, los dos primeros sospechosos de tener vínculos con Conti.
“En el tercer trimestre de 2022, observamos la aparición de 12 nuevos sitios de fuga de datos de ransomware. Algunos son de grupos nuevos, mientras que otros pertenecen a grupos más antiguos que comenzaron a realizar doble extorsión durante el trimestre”, escribió Kim-McLeod.
“Algunos de estos, incluidos ‘BianLian’ y ‘Medusa Locker’, comenzaron a funcionar, superando de inmediato a los grupos de ransomware establecidos como ‘BlackByte’ en el número de víctimas nombradas.
“Al final del último trimestre, planteamos la hipótesis de que veríamos una avalancha de nuevos grupos liderados por ex miembros de Conti. No está claro si estos nuevos grupos tienen filtraciones directas a Conti. Sin embargo, ya sea que estos nuevos grupos tengan vínculos con Conti o no, probablemente se lanzaron de manera oportunista para llenar el vacío de mercado dejado por Conti”.
Otras tendencias notables en ransomware durante el trimestre incluyeron una serie de incidentes en los que los actores de amenazas persistentes avanzadas (APT) vinculados a estados nacionales utilizaron ransomware como herramienta al servicio de promover los objetivos políticos de sus pagadores.
Estos incluyeron ataques a agencias gubernamentales en Albania, atribuidos a una APT iraní, que resultó en la ruptura de los lazos diplomáticos entre Albania e Irán, y en Montenegro, atribuidos a grupos vinculados a Rusia.
Mirando hacia los últimos meses de 2022, los investigadores de Digital Shadows esperan que la actividad aumente en el período previo al período festivo, parte de la cual está inevitablemente relacionada con la distribución oportunista de malware a través de señuelos vinculados a oportunidades de compra.
No se espera que la fuga del constructor de LockBit tenga un efecto material en el dominio de LockBit, pero puede estimular el surgimiento de nuevas variantes de ransomware construidas sobre sus cimientos, mientras que el dominio del grupo en la escena clandestina probablemente atraerá la atención tanto de los rivales como de aplicación de la ley internacional.