El número de bandas de ransomware activas ha aumentado un 56% interanual en el primer semestre de 2024, según un nuevo informe de Searchlight Cyber. Los investigadores observaron 73 grupos de ransomware en funcionamiento en el primer semestre de 2024 en comparación con 46 en el primer semestre de 2023, lo que enfatiza la creciente fragmentación del panorama del ransomware. Lea ahora: El ecosistema de ransomware se transforma, nuevos grupos «cambian las reglas» Esta tendencia ha seguido las operaciones de aplicación de la ley que han interrumpido una serie de grupos de ransomware como servicio (RaaS) de alto perfil en el último año, así como la desaparición de BlackCat en una aparente «estafa de salida» después de obtener un pago de rescate del proveedor de pagos de atención médica estadounidense Change Healthcare en marzo de 2024. Los investigadores dijeron que ahora están viendo grupos más pequeños y menos conocidos surgir rápidamente y ejecutar ataques altamente dirigidos, a menudo desapareciendo y reapareciendo bajo nuevas apariencias de forma continua. Luke Donovan, director de inteligencia de amenazas de Searchlight Cyber, comentó: «Como hemos visto en la primera mitad de 2024, el panorama del ransomware no solo se está expandiendo, sino que se está fragmentando. Con más de 70 grupos de ransomware activos ahora en funcionamiento, el panorama del ransomware se está volviendo más complejo de manejar para los profesionales de la ciberseguridad». RansomHub emerge como un atacante prolífico LockBit mantuvo su lugar como el grupo de ransomware más destacado en el primer semestre de 2024, con 434 víctimas reportadas. Esto a pesar de haber sido gravemente interrumpido por una operación policial global en febrero de 2024. El grupo Play, que ha estado operando desde 2022, quedó en segundo lugar con 178 víctimas registradas. Los investigadores dijeron que RansomHub, el tercer grupo más activo en el período de seis meses con 171 víctimas, era el grupo más «digno de mención» entre los cinco primeros, habiendo surgido recién en febrero de 2024. A fines de agosto, el gobierno de EE. UU. emitió un aviso que destacaba la amplia focalización del operador en sectores de infraestructura crítica, incluidos la atención médica, el agua y la agricultura. BlackBasta y Base conformaron la lista de los cinco principales de Searchlight con 130 y 124 víctimas, respectivamente. Los investigadores también destacaron a los nuevos participantes APT73 y DarkVault, posibles ramificaciones de LockBit, que se espera que se conviertan en amenazas importantes en el futuro cercano. Señalaron que al darse una designación no oficial de amenaza persistente avanzada (APT), APT73 posiblemente esté tratando de reforzar su prestigio y sugerir un nivel de sofisticación más allá de ser simplemente un grupo con motivaciones financieras. Las víctimas de ransomware caen en el primer semestre de 2024 Resulta alentador que el informe haya destacado una caída en el número de víctimas de ransomware registradas en el primer semestre de 2024. Esto incluye una caída de las víctimas de LockBit de 527 en el primer semestre de 2023 a 434 en el primer semestre de 2024. Esto sugiere que las operaciones de aplicación de la ley están teniendo algún efecto en la protección de las organizaciones. «Lo que podríamos estar viendo es la diversificación, en lugar del crecimiento, de la escena del ransomware. Esta hipótesis sería coherente con el hecho de que algunos de los mayores actores del ransomware tienen una influencia claramente reducida, lo que sugiere que ya no existe el «dominio del mercado» de un pequeño número de grupos de ransomware altamente prolíficos que alguna vez hubo», dijeron los investigadores.