Los ataques de ransomware están en aumento

Después de una caída reciente, los ataques de ransomware han vuelto a aumentar. De acuerdo a datos publicado por NCC Group, el resurgimiento está siendo liderado por antiguos grupos de ransomware como servicio (RaaS).

Con los datos recopilados al "supervisar activamente los sitios de fuga utilizados por cada grupo de ransomware y recopilar los detalles de las víctimas a medida que se publican", los investigadores determinaron que Lockbit fue, con mucho, la pandilla de ransomware más prolífica en julio, detrás de 62 ataques. Eso es diez más que el mes anterior, y más del doble que el segundo y tercer grupo más prolífico combinados. "Lockbit 3.0 mantiene su punto de apoyo como el grupo de ransomware más amenazante", escribieron los autores, "y uno del que todas las organizaciones deberían estar al tanto".

El segundo y tercer grupo más prolífico son Hiveleaks (27 ataques) y BlackBasta (24 ataques). Estas cifras representan aumentos rápidos para cada grupo: desde junio, un aumento del 440 por ciento para Hiveleaks y un aumento del 50 por ciento para BlackBasta.

Bien puede ser que el resurgimiento de los ataques de ransomware y el surgimiento de estos dos grupos en particular estén íntimamente conectados.

Por qué ha rebotado el ransomware

Los investigadores de NCC Group contaron 198 campañas exitosas de ransomware en julio, un 47 por ciento más que en junio. A pesar de lo pronunciada que puede ser esa inclinación, todavía se queda un poco por debajo de la marca de agua alta establecida esta primavera, con casi 300 campañas de este tipo tanto en marzo como en abril.

¿Por qué el flujo?

Bueno, en mayo, el gobierno de los Estados Unidos intensificó sus esfuerzos contra el ciberdelito ruso al que ofrece hasta $15 millones por información preciada sobre Conti, entonces la pandilla de ransomware más importante del mundo. "Es probable que los actores de amenazas que estaban experimentando cambios estructurales", especularon los autores del informe, "y hayan comenzado a adaptarse a sus nuevos modos de operación, lo que ha dado como resultado que sus compromisos totales aumenten en conjunto".

Hiveleaks y BlackBasta son el resultado de esa reestructuración. Ambos grupos están "asociados con Conti", señalaron los autores, Hiveleaks como afiliado y BlackBasta como cepa de reemplazo. “Como tal, parece que la presencia de Conti no ha tardado mucho en volver a filtrarse en el panorama de amenazas, aunque con una nueva identidad”.

Ahora que Conti se ha dividido correctamente en dos, especulan los autores, "no sería sorprendente ver que estas cifras aumentan aún más a medida que avanzamos en agosto".