El ransomware LockBit 3.0 recientemente actualizado parece haber impulsado un aumento sustancial en los ataques de ransomware documentados en julio, con un aumento de los incidentes del 47 % mes a mes, según los últimos datos mensuales de amenazas producidos por NCC Group.
Los operadores de LockBit emitieron la versión 3.0 a fines de junio con el lema “Hacer que el ransomware vuelva a ser grandioso”. Entre sus nuevas características se encuentran medios adicionales de monetización, con pagos que ahora se aceptan en más criptomonedas que antes, recuperación de datos posteriores al pago e incluso destrucción. En particular, el grupo ahora ejecuta un programa de recompensas por errores y parece particularmente interesado en escuchar cualquier error en su código que podría permitir que personas externas obtengan su herramienta de descifrado.
En las semanas posteriores a su lanzamiento, LockBit se ha convertido, con cierto margen, en la cepa de ransomware dominante vista en la naturaleza, representando 52 de las 198 víctimas documentadas por NCC en julio, o el 26 % del total. Otros dos grupos, ambos asociados con ex afiliados vinculados a Conti, también fueron muy activos en julio: Hiveleaks, que afectó a 27 organizaciones; y BlackBasta, que llegó a 24.
“Este mes Pulso de amenaza ha revelado algunos cambios importantes dentro de la escena de amenazas de ransomware en comparación con junio, ya que los ataques de ransomware están una vez más en alza”, dijo el jefe global de inteligencia de amenazas de NCC, Matt Hull.
“Desde que Conti se disolvió, hemos visto a dos nuevos actores de amenazas asociados con el grupo, Hiveleaks y BlackBasta, tomar la primera posición detrás de LockBit 3.0. Es probable que solo veamos que la cantidad de ataques de ransomware de estos dos grupos continúa aumentando en los próximos meses”.
En otro lugar, el grupo de amenazas persistentes avanzadas (APT) vinculado a Corea del Norte, Lazarus, continuó una campaña de extorsión cibernética luego de un robo criptográfico de $ 100 millones en el puente Harmony Horizon a fines de junio, y ataques anteriores, incluido un golpe mayor de $ 600 millones en Axie Infinity.
Hull señaló que el aumento de la actividad de Lazarus probablemente fue el resultado de la contracción continua de la economía destartalada de Corea del Norte, lo que obligó al régimen aislado a apoyarse más en el crimen para obtener la moneda fuerte que tanto necesita. Como se informó anteriormente, esta tendencia ha hecho que el gobierno de EE. UU. incremente el dinero de recompensa que se ofrece a cualquiera que pueda proporcionar inteligencia sobre los miembros del colectivo Lazarus.
En términos de otras tendencias de ransomware, las verticales bajo ataque se mantuvieron constantes en julio, y las organizaciones industriales siguieron siendo las más atacadas, representando el 32 % de los incidentes vistos por NCC. A esto le siguieron los cíclicos de consumo, que incluyen automoción, entretenimiento y comercio minorista, con un 17 %, y tecnología con un 14 %.
NCC descubrió que la región más atacada por los ataques de ransomware era América del Norte, donde se observaron el 42 % de los incidentes durante el período, que recuperó el “prestigioso” puesto número uno de Europa después de dos meses.
Como siempre, es importante tener en cuenta que los datos de amenazas producidos por el proveedor son propietarios y generalmente reflejan solo las condiciones vistas por ese proveedor en función de su propia telemetría de red o recopiladas de sus equipos de respuesta a incidentes, por lo que es posible que no sean del todo precisos. Hay otras fuentes de datos de amenazas disponibles.
