Lockbit är sommarens överlägset mest produktiva ransomware-grupp, efterföljd av två utlöpare av Conti-gruppen.
Efter en nyligen nedgång har attacker mot ransomware ökat igen. Enligt datum släppt av NCC Group, återuppkomsten leds av gamla ransomware-as-a-service (RaaS)-grupper.
Med data som samlats in genom att "aktivt övervaka läckagesidorna som används av varje ransomware-grupp och skrapa offerdetaljer när de släpps", har forskare fastställt att Lockbit var det överlägset mest produktiva ransomware-gänget i juli, bakom 62 attacker. Det är tio fler än månaden innan, och mer än dubbelt så många som den andra och tredje mest produktiva gruppen tillsammans. "Lockbit 3.0 behåller sitt fotfäste som den mest hotande ransomware-gruppen", skrev författarna, "och en som alla organisationer bör sträva efter att vara medvetna om."
De andra och tredje mest produktiva grupperna är Hiveleaks – 27 attacker – och BlackBasta – 24 attacker. Dessa siffror representerar snabba ökningar för varje grupp – sedan juni, en ökning med 440 procent för Hiveleaks och en ökning med 50 procent för BlackBasta.
Det kan mycket väl vara så att uppkomsten av ransomware-attacker, och uppkomsten av dessa två särskilda grupper, är intimt förbundna.
Varför Ransomware har studsat
Forskare från NCC Group räknade till 198 framgångsrika ransomware-kampanjer i juli – en ökning med 47 procent från juni. Hur skarp den lutningen än kan vara, så är den fortfarande långt borta från högvattenmärket som sattes denna vår, med nästan 300 sådana kampanjer i både mars och april.
Varför Fluxen?
Tja, i maj ökade USA:s regering sina ansträngningar mot rysk cyberbrottslighet med erbjuda upp till 15 miljoner dollar för uppskattad information om Conti, då världens främsta ransomware-gäng. "Det är troligt att de hotaktörer som genomgick strukturella förändringar," spekulerade författarna till rapporten, "och har börjat sätta sig in i sina nya arbetssätt, vilket resulterar i att deras totala kompromisser ökar i samverkan."
Hiveleaks och BlackBasta är resultatet av den omstruktureringen. Båda grupperna är "associerade med Conti", noterade författarna, Hiveleaks som en affiliate och BlackBasta som en ersättningsstam. "Som sådan verkar det som om det inte har tagit lång tid för Contis närvaro att filtrera tillbaka in i hotlandskapet, om än under en ny identitet."
Nu när Conti är ordentligt delad i två, spekulerade författarna, "det skulle inte vara förvånande att se dessa siffror öka ytterligare när vi går in i augusti."
