A posteriori de una pausa de actividad de tres meses, Cl0p regresó con fuerza en junio y venció a LockBit como la lado de ransomware más activa del mes.
Este artículo se friso en la investigación de Marcelo Rivero, entendido en ransomware de Malwarebytes, que monitorea la información que publican las pandillas de ransomware en sus sitios web oscuros. En este referencia, los “ataques conocidos” son aquellos en los que la víctima No fertilizar un rescate. Esto proporciona la mejor imagen universal de la actividad del ransomware, pero el número actual de ataques es mucho anciano.
A posteriori de una pausa de actividad de tres meses, Cl0p regresó con fuerza en junio y venció a LockBit como la lado de ransomware más activa del mes. Los 91 ataques del familia se producen poco luego de su extensa campaña GoAnywhere en marzo, cuando afectaron a más de 100 organizaciones utilizando un desagradable día cero.
Junio además fue refrendador de un aumento asombroso en los ataques de pandillas relativamente nuevas como Akira (26) y 8Base (41), lo suficiente como para impulsarlos a entreambos entre los cinco primeros, una designación generalmente reservada para nombres más familiares como ALPHV, que fue notoriamente silencioso. en junio.
Otras grandes historias en junio incluyen el arresto de un supuesto afiliado de LockBit, la pandilla Royal ransomware jugando con un nuevo encriptador y un aumento extraordinario en los ataques al sector manufacturero.
Comparando junio con los primeros meses del año, notamos varios cambios en la actividad del ransomware. Hubo una disminución masiva en la actividad de Royal, por ejemplo, que normalmente domina las clasificaciones mensuales, a menudo entre los cinco primeros, con un promedio de aproximadamente 30 ataques por mes en ese período. Pero el mes pasado, publicaron solo dos víctimas.
Si aceptablemente una caída repentina en los ataques no es demasiado inusual para las principales pandillas de ransomware, vale la pena mencionar que en la revisión del mes pasado especulamos que Royal podría estar pasando por un cambio de marca. Eso se debe a que apareció un nuevo ransomware llamado BlackSuit que compartía el 98 por ciento de su código con el infame ransomware Royal.
Sin incautación, teniendo en cuenta que tanto Royal como BlackSuit estuvieron activos el mes pasado, es probable que no se produzca un cambio de marca en el corto plazo. En cambio, es probable que Royal simplemente esté probando un nuevo encriptador, especialmente considerando que BlackSuit se usó en solo dos ataques el mes pasado, y que esta pausa puede concebir más o menos como un período de investigación para ellos.
Otras anomalías interesantes en junio incluyen 47 ataques a la industria manufacturera (que suele promediar cerca de de 20 ataques al mes) y aumentos notables en los ataques a Suiza (14) y Brasil (13), los cuales normalmente son atacados solo dos o tres veces al mes. mes. Parte de esto puede concebir por el hecho de que 8BASE atacó desproporcionadamente a Brasil con 11 ataques el mes pasado, mientras que PLAY se centró en Suiza (5).
Ataques de ransomware conocidos por país, junio de 2023
El progreso vertiginoso de Cl0p a la cima de las listas este mes, por otro costado, puede concebir por su explotación de un día cero en MOVEit Transfer, un software de transferencia de archivos ampliamente utilizado.
La vulnerabilidad, que podría permitir a los atacantes obtener privilegios escalados y ataque no facultado a un entorno, se reveló por primera vez el 31 de mayo en un boletín de seguridad publicado por Progress. Pero aunque antaño estaba claro que los atacantes estaban explotando activamente CVE-2023-34362, solo unos días luego quedó claro que Cl0p estaba detrás de los ataques. Un representante de Cl0p confirmó que habían estado probando la vulnerabilidad desde julio de 2021 y que habían decidido implementarla durante el fin de semana del Día de los Caídos. Por otra parte, se encontraron otras dos vulnerabilidades en MOVEit mientras aún se presentaban nuevas víctimas.
En cuanto a las consecuencias, es difícil exagerar el caos que Cl0p pudo causar gracias al día cero.
Las violaciones de datos de MOVEit tuvieron un impacto generalizado, afectando todo, desde el DMV de Oregón y la OMV (Oficina de Vehículos Motorizados) de Luisiana, incluida la filtración de casi 10 millones de licencias de conducir, hasta la Universidad de Rochester y varias corporaciones. PBI Research Services además informó una violación de datos que expuso información de 4,75 millones de personas. El gobierno incluso ofreció una remuneración de hasta $10 millones por información sobre Cl0p luego de que varias agencias federales en los EE. UU. fueran víctimas de la pandilla.
BloqueoBit
Según se informa, LockBit extrajo cerca de de 91 millones de dólares de organizaciones estadounidenses con cerca de de 1700 ataques desde 2020, según un referencia de junio de CISA. Según lo confirmado por nuestros propios datos de investigación, CISA además descubrió que LockBit ocupó el primer motivo como la anciano amenaza total de ransomware en 2022.
En cuanto a quién fue el más afectado, cerca de del 16 por ciento de los incidentes de ransomware que afectaron a los gobiernos estatales, locales, tribales y judiciales (SLTT) fueron de LockBit, dice MS-ISAC.
En otras telediario, un supuesto afiliado de LockBit llamado Ruslan Magomedovich Astamirov, un nuevo de 20 primaveras de la República de Chechenia, fue arrestado en Arizona el mes pasado. El Área de Imparcialidad de EE. UU. cree que ha estado implementando el ransomware LockBit en las redes de las víctimas tanto en los Estados Unidos como en el extranjero, y la investigación se desarrolló desde agosto de 2020 hasta marzo de 2023.
Astamirov ahora enfrenta cargos de fraude electrónico y de dañar intencionalmente las computadoras protegidas, adicionalmente de que está acentuado de hacer demandas de rescate mediante la implementación de ransomware. El arresto lo convierte en el tercer afiliado de LockBit acentuado en los EE. UU. desde noviembre.
Recién llegados
No hay subterfugio
NoEscape es un nuevo ransomware que ha estado dando vueltas en los foros clandestinos desde mayo de 2023. Desarrollado internamente usando C++, el ransomware NoEscape utiliza un enfoque híbrido para el criptográfico, combinando los algoritmos de criptográfico ChaCha20 y RSA para el criptográfico de archivos y la protección de claves.
El mes pasado, NoEscape publicó 7 víctimas en su sitio de fuga.
razaoscura
DarkRace es un nuevo familia de ransomware descubierto por primera vez por el investigador S!Ri. Darkrace apunta específicamente a los sistemas operativos Windows y tiene varias similitudes con LockBit.
La pandilla atacó a 10 víctimas el mes pasado, la mayoría de ellas pertenecientes a los sectores de Tecnologías de la Información y las Comunicaciones (TIC). Geográficamente, la mayoría de las víctimas se encuentran en Europa, concretamente en Italia.
Rhysida
Rhysida, una nueva pandilla de ransomware que dice ser un “equipo de ciberseguridad”, ha estado en funcionamiento desde el 17 de mayo de 2023, y ha sido notificación por su ataque de stop perfil. contra el ejercito chileno.
La pandilla publicó la friolera de dieciocho víctimas en su sitio de fugas en junio, lo que la convierte en una de las recién llegadas más prolíficas en nuestras reseñas mensuales hasta la término.
