Le squadre di ransomware si raggruppano mentre l’aumento di LockBit continua

I volumi complessivi dell’attività di ransomware sono leggermente diminuiti durante il terzo trimestre del 2022 quando la criminalità informatica si è riorganizzata e si è rifocalizzata dopo l’apparente fine dell’operazione Conti e il successivo aumento di LockBit, ma un leggero aumento a settembre potrebbe annunciare nuove campagne, secondo un valutazione del panorama delle minacce condotta da Digital Shadows.

Riam Kim-McLeod di Digital Shadows ha affermato che l’attività complessiva è diminuita del 10,5% dal secondo trimestre (Q2), con agosto il mese più tranquillo osservato durante il periodo in termini di vittime totali, arrivando a poco più di 150 vittime nominate rispetto a un anno- massimo di poco più di 300 a maggio. Settembre ha visto più vicino a 250 vittime nominate.

Come precedentemente osservato e riportato da altri, l’operazione LockBit è stata di gran lunga il cartello più attivo di attori ransomware durante il periodo, consolidando il suo dominio dopo l’uscita di Conti e il lancio a giugno della versione 3.0 del loro armadietto.

LockBit ha aumentato la sua “quota di mercato” complessiva dal 32,8 al 35,1% delle vittime nel terzo trimestre (terzo trimestre) e ha rappresentato il 40% delle vittime a settembre, nonostante le critiche dei suoi rivali e persino gli attacchi informatici DDoS (Distributed Denial of Service) contro la sua infrastruttura.

“Il successo di LockBit ha un prezzo: il gruppo sta suscitando sempre più risentimento da parte di gruppi di minacce concorrenti e forse ex membri”, ha scritto Kim-McLeod.

“LockBitSupp [the group’s public spokesperson] frequentemente – e infamemente – entra in discussioni pubbliche con altri rappresentanti di ransomware, inclusi i rappresentanti di Conti e ‘Alphv’. È realisticamente possibile che un gruppo rivale abbia preso di mira LockBit con il pretesto di una ritorsione per la violazione di Entrust.

“A metà settembre 2022, un builder LockBit 3.0 trapelato è stato pubblicato su Twitter da un utente che affermava che il loro team era riuscito a”hackerare diversi server LockBit‘. LockBit nega le affermazioni: LockBitSupp ha affermato che il gruppo non è stato violato, incolpando invece un ex sviluppatore scontento per la fuga di notizie.

“Indipendentemente dalla fonte, il costruttore sembra essere legittimo, il che probabilmente avrà conseguenze nel quarto trimestre del 2022 se altri attori delle minacce useranno il costruttore per i loro scopi”, ha aggiunto.

Ma LockBit non è l’unico gruppo in ascesa dopo la caduta altamente pubblica di Conti, con artisti del calibro di Black Basta, Hive Leaks e Alphv/BlackCat che hanno fatto scalpore, i primi due sospettati di avere legami con Conti.

“Nel terzo trimestre del 2022, abbiamo osservato l’emergere di 12 nuovi siti di fuga di dati di ransomware. Alcuni provengono da nuovi gruppi, mentre altri appartengono a gruppi più vecchi che hanno iniziato a condurre doppie estorsioni durante il trimestre”, ha scritto Kim-McLeod.

“Alcuni di questi, tra cui ‘BianLian’ e ‘Medusa Locker’, hanno preso il volo, superando immediatamente gruppi di ransomware affermati come ‘BlackByte’ nel numero di vittime citate.

“Alla fine dello scorso trimestre, abbiamo ipotizzato che avremmo assistito a un afflusso di nuovi gruppi guidati da ex Conti. Non è chiaro se questi nuovi gruppi abbiano fughe dirette a Conti. Tuttavia, indipendentemente dal fatto che questi nuovi gruppi abbiano o meno legami con Conti, è probabile che siano stati lanciati opportunisticamente per colmare il divario di mercato lasciato da Conti”.

Altre tendenze degne di nota nel ransomware durante il trimestre includevano una serie di incidenti in cui il ransomware è stato utilizzato come strumento da attori di minacce persistenti avanzate (APT) legate allo stato nazionale al servizio di promuovere gli obiettivi politici dei loro pagatori.

Questi includevano attacchi alle agenzie governative in Albania, attribuiti a un APT iraniano, che ha portato alla rottura dei legami diplomatici tra Albania e Iran, e in Montenegro, attribuiti a gruppi legati alla Russia.

Guardando al futuro degli ultimi mesi del 2022, i ricercatori di Digital Shadows prevedono che l’attività aumenterà in vista del periodo festivo, parte delle quali inevitabilmente legata alla distribuzione opportunistica di malware tramite esche legate alle opportunità di acquisto.

La fuga di notizie dal costruttore di LockBit non dovrebbe avere un effetto materiale sul dominio di LockBit, ma potrebbe stimolare l’ascesa di nuove varianti di ransomware costruite sulle sue fondamenta, mentre il dominio del gruppo sulla scena underground attirerà probabilmente l’attenzione sia dei rivali, sia di forze dell’ordine internazionali.

Leave a Comment

Your email address will not be published. Required fields are marked *