Το LockBit 3.0 ransomware φαίνεται να οδήγησε σε σημαντική αύξηση στις τεκμηριωμένες επιθέσεις ransomware τον Ιούλιο, με τα περιστατικά να αυξάνονται κατά 47% σε μηνιαία βάση, σύμφωνα με τα πιο πρόσφατα δεδομένα μηνιαίων απειλών που παρήγαγε η NCC Group.
Δείτε επίσης: Επίθεση AiTM στοχεύει χρήστες του Google G-Suite Enterprise
Οι χειριστές του LockBit εξέδωσαν την έκδοση 3.0 στα τέλη Ιουνίου με την ετικέτα “Make Ransomware Great Again”. Μεταξύ των νέων χαρακτηριστικών του είναι πρόσθετα μέσα δημιουργίας εσόδων, με πληρωμές πλέον αποδεκτές σε περισσότερα κρυπτονομίσματα από πριν, ανάκτηση δεδομένων μετά την πληρωμή και ακόμη και καταστροφή. Πιο συγκεκριμένα, η ομάδα τρέχει τώρα ένα πρόγραμμα επιβράβευσης σφαλμάτων και φαίνεται ιδιαίτερα πρόθυμη να ακούσει για τυχόν σφάλματα στον κώδικά της που θα μπορούσαν να επιτρέψουν σε τρίτους να αποκτήσουν το εργαλείο αποκρυπτογράφησης.
Από την στιγμή που λανσαρίστηκε, το LockBit έγινε το κυρίαρχο στέλεχος ransomware που εντοπίζεται ότι χρησιμοποιείται ενεργά, αντιπροσωπεύοντας 52 από τα 198 θύματα NCC που καταγράφηκαν τον Ιούλιο, ή το 26% του συνόλου. Δύο άλλες ομάδες – και οι δύο συνδεδεμένες με πρώην θυγατρικές που συνδέονται με την Conti – ήταν επίσης ιδιαίτερα δραστήριες τον Ιούλιο: η Hiveleaks, η οποία έπληξε 27 οργανισμούς. και BlackBasta, που έφτασε τις 24.
Δείτε επίσης: To «Internet Download Manager» του Chrome αποδείχτηκε adware
«Το Threat Pulse αυτού του μήνα αποκάλυψε ορισμένες σημαντικές αλλαγές σε ότι αφορά τις επιθέσεις ransomware σε σύγκριση με τον Ιούνιο», δήλωσε ο επικεφαλής της παγκόσμιας υπηρεσίας πληροφοριών απειλών NCC, Matt Hull.
«Από τότε που διαλύθηκε η Conti, είδαμε δύο νέους απειλητικούς παράγοντες που σχετίζονται με την ομάδα – το Hiveleaks και το BlackBasta – να καταλαμβάνουν κορυφαία θέση πίσω από το LockBit 3.0. Λογικά ο αριθμός των επιθέσεων ransomware πίσω από αυτές τις δύο ομάδες θα συνεχίσει να αυξάνεται τους επόμενους δύο μήνες».
Η ομάδα persistent threat (APT) Lazarus που συνδέεται με τη Βόρεια Κορέα συνέχισε μια εκστρατεία εκβιασμών στον κυβερνοχώρο μετά από μια ληστεία κρυπτονομισμάτων 100 εκατομμυρίων δολαρίων στο Harmony Horizon Bridge στα τέλη Ιουνίου και προηγούμενες επιθέσεις, συμπεριλαμβανομένου ενός μεγαλύτερου hack 600 εκατομμυρίων δολαρίων στην Axie Infinity.
Ο Hull σημείωσε ότι η αυξημένη δραστηριότητα της Lazarus ήταν πιθανότατα αποτέλεσμα της συνεχιζόμενης συρρίκνωσης της αδιέξοδης οικονομίας της Βόρειας Κορέας, αναγκάζοντας το απομονωμένο καθεστώς να στηριχθεί περισσότερο στο έγκλημα για να αποκτήσει το τόσο απαραίτητο “hard currency”. Όπως αναφέρθηκε στο παρελθόν, αυτή η τάση οδήγησε την κυβέρνηση των ΗΠΑ στο να αυξάνει τα χρήματα ανταμοιβής που προσφέρονται σε οποιονδήποτε μπορεί να παράσχει πληροφορίες για τα μέλη της ομάδας Lazarus.
Όσον αφορά τις άλλες τάσεις ransomware, οι κλάδοι υπό επίθεση παρέμειναν σταθεροί τον Ιούλιο, με τους βιομηχανικούς οργανισμούς να παραμένουν οι πιο στοχευμένοι, αντιπροσωπεύοντας το 32% των περιστατικών που παρατηρήθηκαν από την NCC. Ακολούθησαν τα κυκλικά καταναλωτικά προϊόντα – τα οποία περιλαμβάνουν την αυτοκινητοβιομηχανία, την ψυχαγωγία και το λιανικό εμπόριο – με 17% και την τεχνολογία σε 14%.
Δείτε επίσης: Διαρροή δεδομένων από την Plex.tv Αλλάξτε άμεσα κωδικούς!
Η NCC διαπίστωσε ότι η περιοχή που στοχεύθηκε περισσότερο για επιθέσεις ransomware ήταν η Βόρεια Αμερική, όπου κατά τη διάρκεια της περιόδου καταγράφηκε το 42% των περιστατικών.
Όπως πάντα, είναι σημαντικό να σημειωθεί ότι τα δεδομένα απειλών που παράγονται από τον προμηθευτή είναι ιδιόκτητα και γενικά αντικατοπτρίζουν μόνο τις συνθήκες που βλέπει ο συγκεκριμένος προμηθευτής με βάση την τηλεμετρία του δικτύου του ή που συλλέγονται από τις ομάδες απόκρισης συμβάντων, επομένως ενδέχεται να μην είναι απολύτως ακριβή.
Πηγή πληροφοριών: computerweekly.com
