Apesar de ter sido desmantelada pela polícia há seis meses, a LockBit 3.0 continua sendo a gangue de criptografia e extorsão mais prolífica, pelo menos até agora, neste ano, de acordo com a Unidade 42 da Palo Alto Networks.
Dos 53 grupos de ransomware cujos sites ilegais, onde os criminosos nomeiam suas vítimas e vazam dados roubados, monitorados pela equipe de resposta a incidentes, apenas seis foram responsáveis por mais da metade do total de infecções observadas.
Para sua análise, a Unidade 42 analisou os anúncios publicados nos sites de vazamento dedicados dessas equipes durante os primeiros seis meses de 2024 e contabilizou 1.762 postagens, o que representa um aumento de 4,3% em relação ao ano anterior em relação a 2023.
Antes de entrarmos na contagem de vítimas das seis principais gangues, uma nota sobre como a Unit 42 rastreia grupos de estados-nação e crimes cibernéticos: ela combina um modificador com uma constelação. E Scorpius é a constelação da sorte que a Unit 42 conecta a gangues de ransomware. Aqui está o lista mestrealém dos akas comuns.
Vamos usar os nomes mais comuns, com os nomes da Unidade 42 entre parênteses na primeira referência, porque, embora duvidemos que alguém de fora do ramo de segurança esteja familiarizado com “Flighty Scorpius”, LockBit, por outro lado, é basicamente um nome conhecido.
(Além disso, uma observação sobre a Unidade 42: você vai começar a ficar sem modificadores viáveis em breve.)
Além disso, esses números comparam o primeiro semestre de 2024 com o ano inteiro de 2023.
No primeiro semestre de 2024, o LockBit 3.0 (Flighty Scorpius) registrou 325 vítimas em seu site de vazamento, em comparação com 928 em todo o ano de 2023. Isso foi mais do que suficiente para colocar a equipe na posição número 1 na metade do caminho.
Em segundo lugar: a gangue Play (Fiddling Scorpius) nomeou 155 vítimas durante o H1 de 2024, em comparação com 267 no ano passado. Esse salto levou o grupo da quarta posição em 2023 para o segundo lugar até agora neste ano.
Enquanto isso, 8base (Squalid Scorpius), um relativamente novato do ano passado que se acredita ser uma reformulação da Phobos, ficou em terceiro lugar durante o primeiro semestre de 2024 com 119 vítimas reivindicadas. Em 2023, os criminosos reivindicaram 188 vítimas, o que os colocou na sexta posição.
Akira (Howling Scorpius), apelidado de próxima grande novidade em ransomware, ficou em 4º lugar, com 119 vítimas até agora neste ano. Para efeito de comparação: durante 2023, ele registrou 192 vítimas e ficou em quinto lugar.
BlackBasta (Dark Scorpius), com 114 vítimas, foi a quinta gangue de ransomware mais prolífica entre janeiro e junho. Ela nem chegou ao top seis no ano passado.
E finalmente, Medusa (Transforming Scorpius) supostamente infectou 103 vítimas até agora neste ano. Ela também não chegou ao top seis em 2023.
Algumas gangues notáveis ausentes da lista deste ano incluem ALPHV/BlackCat (Ambitious Scorpius), que ficou em segundo lugar no ano passado com 388 vítimas, e a CLOP (Chubby Scorpius), classificada em terceiro lugar, com 364 vítimas em 2023.
O relatório também observa diversas interrupções de alto nível que aconteceram no início deste ano e no final de 2023.
“A remoção de grupos, fóruns e indivíduos importantes de ransomware no primeiro semestre do ano criou repercussões em todo o ecossistema criminoso”, diz o relatório. observado.
Em dezembro de 2023, uma operação liderada pelo FBI apreendido Os sites da ALPHV/BlackCat e lançaram uma ferramenta de descriptografia para seu ransomware.
Isso não descarrilou completamente a tripulação, que rugiu de volta à vida quando um afiliado trancado Mudar os sistemas de TI da Healthcare e fechar farmácias nos EUA. A ALPHV retirou uma golpe de saída logo após o resgate ter sido supostamente pago.
Depois, em Fevereiro, vimos a iniciativa liderada pela NCA Derrubar do site Tor LockBit 3.0 e o desmascaramento e sanção do seu líder, Dmitri Khoroshevtambém conhecido como LockbitSupp um mês depois.
Em maio, policiais internacionais assumiu o controle do site e canal do Telegram pertencente ao site de corretagem de ransomware BreachForums. Um mês depois, eles prenderam o líder do Scattered Spider, outro afiliado da APLHV.
Claro, essas remoções por parte das autoridades policiais podem parecer um jogo de whack-a-mole, já que muitos dos sites criminosos retornam com um novo nome e um novo administrador (como Fóruns de violação já fez isso várias vezes ao longo dos anos e mais recentemente em junho).
Além disso, algumas das gangues conseguiram Rebranding e muitos dos afiliados do grupo ransomware-as-a-service se espalham para outras organizações criminosas após uma apreensão. E, como a Unit 42 observou no relatório, há muitos novatos ansiosos para se destacar e se mudar para esse lucrativo ecossistema criminoso.
Todos esses fatores provavelmente desempenham um papel no ligeiro aumento geral nas infecções de ransomware relatadas ano após ano.
Alguns dos recém-chegados que a Unidade 42 acompanha incluem:
- Spoiled Scorpius (Distribuidores do RansomHub)
- Slippery Scorpius (Distribuidores do DragonForce)
- Burning Scorpius (Distribuidores de LukaLocker)
- Ransomware Alpha/MyData
- Ransomware Trisec
- Ransomware DoNex
- Ransomware Quilong
- Ransomware de apagão
Enquanto isso, uma nova cepa de ransomware chamada Cifra Cerebral surgiu em junho de 2024 depois que uma equipe hackeou o Temporary National Data Center (PDNS) da Indonésia e interrompeu os serviços do país. Esse código de malware é supostamente baseado no LockBit 3.0.
“Analisamos uma amostra do Brain Cypher usada em um ataque contra um alvo indonésio, e nossas assinaturas de prevenção e detecção LockBit 3.0 existentes também funcionaram nessa amostra”, disse a Unidade 42.
“Mesmo com os melhores esforços das autoridades policiais para desmantelar e eliminar os agentes de ameaças de ransomware mais prolíficos, muitos grupos altamente qualificados e motivados estão esperando, dispostos a intervir e preencher o vazio”, concluem os caçadores de ameaças.
“O sucesso e a subsequente explosão de ransomware nos últimos anos levaram a um grupo cada vez maior de indivíduos e grupos apostando em sua chance de fama e fortuna.” ®
