Los grupos RaaS intentan reclutar afiliados descontentos o desplazados
Además de revelar un aumento interanual de casi el 20% en el número de víctimas de ransomware, el Informe de ransomware GRIT Q1 2024 observa cambios importantes en los patrones de comportamiento de los grupos de ransomware luego de la actividad policial , incluido el ataque continuo a personas previamente “desactivadas”. -limita” organizaciones e industrias, como hospitales de emergencia.
“En general, estamos viendo un ecosistema de ransomware cada vez más volátil. Las interrupciones en el cumplimiento de la ley este trimestre parecen haber ralentizado o cambiado temporalmente las actividades operativas de prolíficos grupos de ransomware como servicio (RaaS), incluidos Alphv y LockBit”, dijo Drew Schmitt , líder de práctica de GRIT.
“Los afiliados son el alma de las operaciones de RaaS y, a raíz de estas interrupciones, ya hemos observado grupos de RaaS más pequeños que intentan reclutar afiliados descontentos o desplazados. Si bien los efectos a largo plazo de los esfuerzos de aplicación de la ley aún están por verse, esperamos un segundo trimestre turbulento a medida que el panorama de RaaS continúa evolucionando”, añadió Schmitt.
El informe analiza en profundidad el cambiante ecosistema RaaS, incluido el impacto residual en LockBit del Grupo de Trabajo Operación Cronos, un esfuerzo internacional de aplicación de la ley dirigido por la Agencia Nacional contra el Crimen (NCA) del Reino Unido. Otros eventos de ransomware notables en el primer trimestre incluyen una aparente estafa de salida de Alphv luego de su muy publicitado ataque de ransomware Change Healthcare, intentos de reextorsión por parte de afiliados de Phobos y una colaboración renovada autoproclamada de miembros del colectivo de delitos cibernéticos “Cinco Familias”.
Los tres grupos de ransomware más activos
El primer trimestre de 2024 resultó en un aumento de casi el 20 % en las víctimas reportadas con respecto al primer trimestre de 2023, a pesar de la interrupción de LockBit y la disolución de Alphv, dos de los grupos de ransomware más grandes y prolíficos.
La cantidad de grupos de ransomware activos se duplicó con creces año tras año, aumentando un 55% de 29 grupos distintos en el primer trimestre de 2023 a 45 grupos distintos en el primer trimestre de 2024.
Los tres grupos de ransomware más activos fueron LockBit , Blackbasta y Play. Incluso con una importante interrupción de las fuerzas del orden en febrero de 2024, LockBit mantuvo el primer lugar entre las operaciones de servicios RaaS con 219 víctimas, aunque con un ritmo operativo más bajo en comparación con trimestres anteriores. LockBit cobró un promedio de casi 3 víctimas por día antes de que ocurriera la interrupción el 20 de febrero, y tuvo un promedio de aproximadamente 2 víctimas por día desde el 24 de febrero hasta finales de marzo.
Estados Unidos domina el recuento de víctimas de ransomware en el segundo trimestre de 2024
Las industrias más afectadas por el ransomware en el primer trimestre de 2024 fueron la manufactura, el comercio minorista y mayorista y la atención médica, respectivamente. La industria minorista y mayorista experimentó un aumento en la actividad observada durante el trimestre, representando el 7% de todas las publicaciones observadas y superando a la atención médica para convertirse en la segunda industria más afectada.
Por primera vez desde el segundo trimestre de 2023, más de la mitad de todas las víctimas de ransomware observadas se encontraban en Estados Unidos, lo que lo convierte en el país más atacado con un total de 537 víctimas. Aunque el Reino Unido experimentó la mayor disminución en el número de víctimas observadas por país (-26%), todavía ocupa el segundo lugar en número de ataques de ransomware observados (60).
«A medida que el ecosistema de ransomware responde a eventos recientes con grupos de larga data y de gran impacto, anticipamos una tendencia al alza en ataques oportunistas e indiscretos independientemente de la industria y las normas RaaS anteriores», agregó Schmitt. «También es probable que una parte de los grupos emergentes y en desarrollo relativamente menos maduros mantengan un aumento lo suficientemente constante en sus operaciones como para convertirse en nuevos grupos establecidos desde hace mucho tiempo».
El informe se basa en datos obtenidos de recursos disponibles públicamente, incluidos los propios grupos de amenazas, así como en información de analistas de amenazas sobre el panorama de amenazas de ransomware.
Fuente y redacción: thehackernews.com