Un grupo LockBit hiperactivo provocó un aumento de las campañas de ransomware en el último trimestre de 2023, según el proveedor de seguridad XDR ReliaQuest. En su informe Tendencias de ransomware del cuarto trimestre de 2023, ReliaQuest descubrió que la actividad de ransomware aumentó un 80% entre octubre y diciembre de 2023 en comparación con el mismo período de 2022. Durante este período, se incluyeron un total de 1262 víctimas en sitios de fuga de datos, con víctimas que van desde varias industrias, incluidas la manufactura, la construcción y los servicios profesionales, científicos y técnicos. LockBit domina el panorama de amenazas LockBit fue el grupo de amenazas más activo, con 275 víctimas incluidas en sitios de fuga de datos durante el período estudiado. Esto es más del doble de víctimas reclamadas que el segundo grupo más activo, Play, que reclamó 110 víctimas en sitios de fuga de datos en el cuarto trimestre de 2023. ALPHV/BlackCat quedó tercero con 102 víctimas reclamadas, NoEscape quedó cuarto (76) y 8Base quedó quinto (75). Número de entidades comprometidas enumeradas en sitios de fuga de datos por grupo de amenazas en el cuarto trimestre de 2023. Fuente: ReliaQuest Esta dominación se alineó con tendencias anteriores ya que LockBit fue el grupo más activo durante todo 2023. ReliaQuest observó que LockBitSupp, el representante público del grupo, había estado tratando constantemente de reclutar miembros de NoEscape y ALPHV, cuya actividad ha sido interrumpida por operaciones policiales. Leer más: Las autoridades confirman la eliminación de BlackCat y se ofrece clave de descifrado a las víctimas. Por ejemplo, se había observado que LockBitSupp ofrecía el uso del sitio de filtración de datos y el panel de negociación de LockBit a los afiliados de ambos grupos. «No está claro si el plan de reclutamiento funcionó, pero al menos una organización cuyo compromiso estaba vinculado a ALPHV terminó siendo nombrada en el sitio de filtración de LockBit», señaló el informe de ReliaQuest. Mientras tanto, los grupos de ransomware NoEscape y Play parecían haber aumentado su actividad durante el último trimestre de 2023. Citrix Bleed Up, MOVEit Down En noviembre se produjo un aumento en las reclamaciones de víctimas de ransomware, con 484 solo durante ese mes. Número de entidades comprometidas que figuran en sitios de fuga de datos por mes en 2023. Fuente: ReliaQuest ReliaQuest atribuyó este aumento a una mayor explotación de la vulnerabilidad Citrix Bleed, que fue explotada principalmente por afiliados de LockBit. «Además de eso, noviembre trajo nuevas tácticas agresivas de extorsión por parte del grupo de ransomware ALPHV, involucrando a la Comisión de Bolsa y Valores de EE. UU. (SEC) para presionar a sus objetivos», se lee en el informe. Sin embargo, la campaña MOVEit parecía haberse enfriado: el grupo Clop nombró un 95,3% menos de víctimas en el cuarto trimestre de 2023 que en el trimestre anterior. Leer más: MOVEit Exploitation Fallout Drives Record Ransomware Attacks 2024 Ransomware Groups’ Tactics Predictions Con base en sus datos, ReliaQuest espera que el aumento de las reclamaciones de ransomware continúe en 2024. La firma también compartió predicciones para 2024 con respecto a las tácticas de algunos de los ransomware más activos. grupos. Estos incluyen: NetScaler Affinity de LockBit: LockBit ha estado explotando vulnerabilidades en NetScaler, una tecnología de redes ampliamente utilizada, para apuntar a organizaciones de alto valor (bancos, gobiernos, firmas de abogados, etc.). Dada la rentabilidad y el éxito de estos ataques, ReliaQuest evalúa que LockBit probablemente continuará con su explotación de NetScaler y su enfoque industrial. Potencial de regreso de Clop: aunque la actividad de Clop se redujo hacia fines de 2023, ReliaQuest espera que el grupo “regrese” en 2024. “Esta reducción después de un aumento de actividad se ha visto antes con Clop, luego de una campaña de 2020-21 que abusó de varios días cero”, se lee en el informe. La amenaza silenciosa de NoEscape (por ahora): Aunque NoEscape parece haber desaparecido, después de haber cerrado su sitio de filtración de datos, por ejemplo, ReliaQuest dijo que probablemente reanudaría su actividad en algún momento en el futuro, aunque probablemente con otro nombre. Esta evaluación se «basa en el hecho de que NoEscape surgió como un cambio de marca de ‘Avaddon’ y en su éxito con tácticas de extorsión múltiple».

Source link