El notorio grupo LockBit resurgió para convertirse en el actor de ransomware más destacado en mayo de 2024, según un nuevo análisis de NCC Group. LockBit 3.0 volvió al redil en mayo para lanzar 176 ataques de ransomware, el 37% del número total del mes. Esto representa un enorme aumento intermensual del 665 % para el sector del ransomware como servicio (RaaS). La actividad de LockBit en mayo fue mayor que la de los siguientes grupos más destacados: Play, que fue responsable de 32 ataques (7%), y RansomHub con 22 ataques (5%). El resurgimiento se produce tras un período en el que LockBit permaneció inactivo tras la operación mundial de aplicación de la ley, conocida como Operación Cronos, que derribó la infraestructura clave utilizada por el grupo en febrero de 2024. En ese momento, varios expertos advirtieron que era probable que los operadores de LockBit evolucionaran. y resurgir en algún momento si no se realizan arrestos. En febrero de 2024, un administrador de LockBit publicó un largo mensaje admitiendo negligencia al permitir la eliminación de las fuerzas del orden, pero insistió en que estaban reanudando su negocio de ransomware, creando un nuevo sitio de filtración. Antes de la eliminación de las autoridades, LockBit dominaba el panorama del ransomware. Matt Hull, director global de inteligencia de amenazas de NCC Group, dijo que las nuevas cifras muestran que la especulación de que LockBit 3.0 se disolvería después de la Operación Cronos, como ha sucedido con otros grupos de amenazas como Hive, podría ser incorrecta. “Es posible que en medio de las acciones policiales, LockBit no sólo retuviera a sus afiliados más capacitados sino que también atrajera a otros nuevos, lo que indica su determinación de persistir. Alternativamente, el grupo podría estar inflando sus números para ocultar el verdadero estado de su organización”, comentó Hull. «Los próximos meses revelarán si LockBit puede sostener las cifras de ataques registradas en mayo, y nuestro equipo de inteligencia de amenazas en NCC Group seguirá de cerca la actividad del grupo», añadió. NCC Group descubrió que varios grupos nuevos ingresaron a la lista de los 10 principales actores de amenazas en mayo. Esto incluye a Dan0n, descubierto inicialmente en abril, en la octava posición con 13 ataques, y al nuevo operador Arcus Media en el décimo lugar con 11 ataques. Lea aquí: #Infosec2024: Ecosistema de ransomware transformado, nuevos grupos “cambian las reglas” En general, los ataques globales de ransomware aumentaron un 32 % mes a mes (356 a 470) y un 8 % año tras año (435 a 470). ). El sector industrial es el sector más atacado El informe Threat Pulse de NCC Group de mayo encontró que el sector industrial era el sector más atacado por los actores de ransomware, representando el 30% de los ataques. Los 143 ataques dirigidos a esta industria fueron significativamente mayores que en abril, cuando los industriales enfrentaron 116 ataques, pero una proporción proporcional similar. La segunda industria más atacada en mayo fue la tecnología, que también experimentó un aumento significativo de ataques mes a mes, de 49 a 72, un aumento del 47%. Los investigadores dijeron que este aumento fue impulsado por el valor de sus datos y propiedad intelectual, importantes recursos financieros y el rico entorno de datos y dispositivos conectados en las empresas de tecnología. El informe también destacó tendencias regionales notables en ataques de ransomware. La proporción del total de ataques globales dirigidos a América del Norte disminuyó del 58% al 49% mes a mes, mientras que los ataques en Europa crecieron un 65% en el mismo período. Hubo aumentos significativos en la proporción de ataques dirigidos a América del Sur y África de abril a mayo: del 5% al ​​8% en América del Sur y del 3% al 8% en África. NCC Group cree que esta tendencia podría deberse a que estas regiones se utilizan como «campo de pruebas» para probar la viabilidad de nuevos paquetes de malware y metodologías de ataque.