Sin #Conti, el ransomware #LockBit toma la delantera

La cantidad de ataques de ransomware observados durante los tres meses anteriores disminuyó en comparación con el trimestre anterior, según informes de dos compañías de inteligencia de amenazas. Sin embargo, el vacío dejado por la pandilla Conti ha sido llenado por otros jugadores, con LockBit consolidándose en la primera posición y es probable que sirva como fuente futura para los derivados del ransomware. Dos nuevos informes muestran que LockBit es ahora la opción dominante de ransomware gracias al vacío dejado por Conti y el código actualizado.

De julio a septiembre, la firma de seguridad Intel 471 contó 455 ataques de 27 variantes de ransomware, siendo LockBit 3.0 responsable de 192 de ellos (42%). Mientras tanto, la empresa de seguridad Digital Shadows, una empresa de ReliaQuest, rastreó alrededor de 600 víctimas de ransomware durante el mismo período de tiempo, y LockBit representó el 35 % de ellas.

EE.UU. fue el país más afectado y el sector de bienes y servicios industriales fue el sector más atacado, lo cual es preocupante dada su importancia a la infraestructura crítica. Además, la cantidad de ataques de extorsión de datos por motivos políticos ha aumentado durante el trimestre anterior y se cree que algunos de ellos están coordinados por actores patrocinados por el estado.

LockBit capitaliza el cierre de Conti

Desde su lanzamiento en 2019, Conti creció hasta convertirse en la pandilla de ransomware más prolífica a principios de 2022. Sin embargo, una serie de pasos en falso de sus operadores: apoyar públicamente la invasión rusa de Ucrania, lanzar un gran ataque contra el gobierno de Costa Rica que provocó la El Departamento de Estado de EE. UU. ofreció una recompensa de $ 10 millones por información sobre sus líderes, y sufrir una filtración importante de sus comunicaciones internas y detalles operativos llevó a la disolución de la pandilla en mayo. Si Conti se ha ido por completo o simplemente se ha cambiado de nombre con diferentes nombres, todavía está en debate, y algunos investigadores creen que la operación de ransomware Black Basta y el grupo de extorsión de datos Karakurt Hacking Team son derivados de la pandilla.

Lo que está claro es que después de que Conti cerró sus operaciones en mayo, sus afiliados (los individuos o grupos que realizan la intrusión y la distribución de ransomware por una parte de los pagos del rescate) comenzaron a unirse a otros jugadores del ransomware-as-a-service (RaaS). ) mercado. El principal beneficiario de esa migración de talentos ciberdelincuentes parece haber sido LockBit.

La operación LockBit RaaS ha existido durante casi tanto tiempo como Conti, pero ha sido eclipsada por otros grupos como Maze y Ryuk durante sus primeros dos años de operación. Con el tiempo, sus creadores han realizado mejoras significativas en el código, que culminaron con el lanzamiento de la versión 3.0 de sus programas de ransomware y afiliados en junio.

Si bien LockBit 3.0 ha sido la cepa de ransomware líder en el tercer trimestre, queda por ver si seguirá siendo así porque en septiembre alguien filtró detalles internos sobre el programa de afiliados de LockBit, el creador del ransomware e información sobre su supuesta líder. Esto probablemente se hizo para dañar la reputación del programa en los círculos de ciberdelincuencia y, de hecho, la filtración ha provocado conversaciones en foros clandestinos sobre la seguridad operativa de la pandilla.

"Este incidente tiene el potencial de disminuir aún más la cantidad de infracciones de LockBit en el cuarto trimestre de 2022", dijeron los investigadores de Intel 471 en su informe. "Es probable que el sindicato deba centrar su atención en modificar el código del ransomware y las tácticas, técnicas y procedimientos (TTP) de los grupos, así como en implementar más medidas de seguridad operativa (OPSEC). Es probable que los actores utilicen el código fuente de LockBit como base para crear otros programas de ransomware".

Los investigadores de Digital Shadows están de acuerdo en su informe en que, independientemente de quién haya sido la fuente de la filtración, el incidente podría, al menos, llevar a otros grupos a armar el constructor LockBit 3.0.

La sombra de Conti no se queda atrás

La cepa de ransomware responsable del segundo mayor número de víctimas en el tercer trimestre después de Conti ha sido Black Basta con un 11 % según Intel 471 y un 9 % según Digital Shadows. El top 5 lo completaron dos cepas de ransomware llamadas Hive y ALPHV en la telemetría de ambas empresas.

Hay rumores de que tanto Black Basta como Hive están relacionados con Conti y, aunque esto no está confirmado, la evidencia es más sólida en el caso de Black Basta. "Anteriormente informamos con un grado de confianza bajo a moderado que Black Basta RaaS fue lanzado por el actor vagabundo, un afiliado de ransomware de Conti", dijeron los investigadores de Intel 471. "El actor probablemente continuó usando los TTP de Conti para operar el ransomware Black Basta luego de la disolución de Conti".

Los afiliados de Black Basta suelen buscar organizaciones altamente rentables y, según los datos de Intel 471, las víctimas del grupo se ubicaron en ocho países durante el tercer trimestre en comparación con 11 en el segundo trimestre. Esto podría sugerir que el grupo está reenfocando sus esfuerzos en los mercados más desarrollados, particularmente en los EE. UU., donde se ubicaron dos tercios de las víctimas del tercer trimestre de Black Basta.

Hive tiene un enfoque aún más restringido, con un supuesto operador de Hive que reveló en agosto que los afiliados del grupo apuntan principalmente a organizaciones de Australia, Canadá, el Reino Unido y los EE. UU. "Los actores que implementaron el ransomware Hive a menudo aprovecharon las campañas de phishing para proporcionar acceso inicial y distribuir su malware", dijeron los investigadores de Intel 471. "La mayoría de estas campañas de phishing están redactadas en inglés, lo que reduce el conjunto de objetivos pero permite a los actores refinar su producto y adaptar las campañas de ingeniería social a una audiencia específica. Es probable que esto reduzca el gasto de recursos y aumente las posibilidades de éxito".

En cambio, los afiliados de ALPHV RaaS parecen preferir vulnerabilidades y exploits para obtener acceso a grandes organizaciones. El presunto líder de la operación ALPHV RaaS afirmó en septiembre que el grupo se ha centrado en aeropuertos, operadores de oleoductos, estaciones de servicio, refinerías de petróleo y otras infraestructuras críticas desde que se lanzó el programa de afiliados. Esto es difícil de verificar ya que no todas las víctimas de una operación de ransomware son públicas, pero según los datos de Intel 471 durante el tercer trimestre, los sectores más afectados por ALPHV fueron bienes raíces, servicios profesionales y consultoría, productos industriales y de consumo, y tecnología.

Otras variantes notables de ransomware responsables de los ataques en el tercer trimestre incluyen AvosLocker, Vice Society, STORMOUS, Bianlian, Medusa, Ransomhouse, Quantum y LV. Los investigadores de Intel 471 también observaron la aparición y publicidad de algunos nuevos programas RaaS en foros clandestinos durante el último trimestre, incluidos Monster, Solidbit y Garyk.

Mientras tanto, los investigadores de Digital Shadows observaron el lanzamiento de 12 nuevos sitios de fuga de datos de ransomware, incluso por parte de nuevos grupos, lo que eleva el número de sitios que la compañía rastrea a 97, de los cuales 44 están activos. Sin embargo, no todos los grupos de ransomware mantienen sitios de fuga de datos o participan en esta forma de doble extorsión, que implica el robo de datos confidenciales y la amenaza de liberarlos o venderlos además de cifrarlos con programas de ransomware. Por otro lado, grupos como Karakurt, que también se cree que está relacionado con Conti, se dedican exclusivamente a la extorsión de fugas de datos y no usan ransomware.

"Al final del último trimestre, planteamos la hipótesis de que veríamos una avalancha de nuevos grupos liderados por exmiembros de Conti", dijeron los investigadores de Digital Shadows. "No está claro si estos nuevos grupos tienen filtraciones directas a Conti. Sin embargo, ya sea que estos nuevos grupos tengan vínculos con Conti o no, probablemente se lanzaron de manera oportunista para llenar el vacío de mercado dejado por Conti".

Los principales países a los que se dirigió el ransomware en el tercer trimestre según Digital Shadows fueron EE. UU., Francia, España, Reino Unido, Alemania e Italia. Según Intel 471, los cuatro primeros fueron EE. UU., Francia, Reino Unido e Italia. Las dos empresas dividieron los sectores industriales de manera algo diferente, pero entre los más específicos se encontraban los bienes y servicios industriales, productos industriales y de consumo, tecnología, construcción y materiales, manufactura, servicios profesionales y consultoría, viajes y ocio, y servicios públicos.

Fuente: CSO

Suscríbete a nuestro Boletín