En un informe actual, Trend Micro analiza el panorama del ransomware y ofrece una perspectiva sobre el impacto que tiene en él la interrupción de las actividades de LockBit. LockBit no se desmanteló por completo, pero su actividad se suprimió severamente y se descubrieron nuevos desarrollos de códigos maliciosos que quedaron inutilizables.
En colaboración con la Agencia Nacional contra el Crimen (NCA) británica, Trend Micro pudo proporcionar análisis detallados de las actividades del grupo de ransomware e interrumpir permanentemente toda la funcionalidad del malware. Desde 2022, LockBit y BlackCat han estado constantemente entre los proveedores de ransomware como servicio (RaaS) con más descubrimientos. A nivel mundial, se puede observar un aumento de grupos RaaS activos en paralelo al creciente número de víctimas.
🔎 Las autoridades se han hecho cargo de las páginas filtradas de varias direcciones de LockBit Tor. Sin embargo, el grupo APT ha regresado con nuevas direcciones (Imagen: Trend Micro).
La investigación de los expertos en seguridad muestra que muchos actores de amenazas de ransomware como servicio se centran particularmente en organizaciones más pequeñas, que creen que tienen menos recursos para la seguridad de TI. En la segunda mitad de 2023, las empresas con menos de 200 empleados representaron la mayoría de las víctimas de LockBit (61 por ciento) y una proporción significativa de las víctimas de BlackCat (50 por ciento) en todo el mundo. En el caso del grupo de ransomware Clop, más de la mitad de los ataques durante el período de estudio (62 por ciento) fueron contra este tipo de pymes.
Cuarto trimestre de 4: las cifras de ataques siguen aumentando
El informe revela que Trend Micro detectó y bloqueó un total de casi 2023 millones de amenazas de ransomware en todo el mundo a nivel de correo electrónico, URL y archivos en la segunda mitad de 7,5. Esto representa un aumento de más del 11 por ciento en comparación con los primeros seis meses del año. Los actores de ransomware publicaron en sus sitios de filtración los datos de un total de alrededor de 2.500 empresas que supuestamente se negaron a pagar el rescate después de un ataque exitoso.
Esto corresponde a un aumento de más del 26 por ciento de presuntas víctimas de ransomware en todo el mundo en comparación con la primera mitad de 2023. El número de grupos RaaS activos también aumentó en más del 15 por ciento en la segunda mitad del año.
LockBit fue la familia de ransomware líder en todo el mundo y representó el 18 por ciento del número total de víctimas en el tercer trimestre y el 22 por ciento en el cuarto trimestre. Su atención se centró a lo largo de 2023 en América del Norte. En la segunda mitad de 2023, el 45 por ciento de sus ataques se dirigieron a esta región, seguida de Europa (26 por ciento) y la región de Asia y el Pacífico (12 por ciento).
El grupo de ransomware BlackCat también apuntó a América del Norte con el 58 por ciento de sus ataques en la segunda mitad de 2023. Seguida nuevamente por Europa (17 por ciento) y la región de Asia y el Pacífico (14 por ciento). Los actores de Clop muestran preferencias geográficas similares. Con casi el 70 por ciento, América del Norte fue el centro de atención en el tercer trimestre de 2023. En el cuarto trimestre los incidentes se concentraron exclusivamente en esta región. Alemania ocupa el primer lugar en ataques de ransomware en Europa, aunque las cifras cayeron ligeramente en el último trimestre.
Operación Cronos contra LockBit
LockBit estuvo involucrado en una cuarta parte de todas las filtraciones de ransomware en 2023 y ha seguido evolucionando su ransomware para mantenerse a la vanguardia de la tecnología. En estrecha colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, Trend Micro pudo proporcionar inteligencia sobre amenazas para un análisis detallado de LockBit-NG-Dev, la próxima versión del ransomware LockBit aún en desarrollo. El análisis determinó que toda la línea de productos LockBit no era apta para fines delictivos. Esta interrupción colectiva de uno de los principales actores del ransomware llamada "Operación Cronos", marca un paso significativo en la lucha global contra las amenazas cibernéticas.
Los principales resultados de la operación Cronos contra LockBit
- Daño a la reputación de los actores principales: Dada su reputación empañada, LockBit enfrenta importantes desafíos para reconstruir sus operaciones y redes de afiliados.
- Interrupción de la infraestructura estratégica: El enfoque en profundidad de la operación ha hecho que a los actores les resulte extremadamente difícil y lento reconstruir sus sistemas y reagruparse.
- Disuasivo eficaz: Los conocimientos sobre las actividades delictivas de los afiliados y las advertencias posteriores probablemente desmantelaron todos los programas de afiliados de LockBit y debilitaron aún más la capacidad operativa del grupo.
- Mayor seguridad para las empresas: Las empresas se benefician de los conocimientos que proporcionó la operación y del menor riesgo de ser atacados por un actor importante en el mercado del ransomware.
"Estamos muy contentos de haber podido apoyar con éxito a las autoridades internacionales encargadas de hacer cumplir la ley en su trabajo contra el grupo LockBit con nuestros análisis de su nueva versión planificada", explica Robert McArdle, director del equipo de investigación de amenazas futuras de Trend Micro. “Al estar un paso por delante de estos actores de amenazas con nuestro análisis, pudimos no solo compartir información con las autoridades, sino también fortalecer la protección de nuestra base global de clientes. Una evaluación de la operación de disrupción muestra que la inteligencia global sobre amenazas hace una contribución valiosa para aumentar el nivel de seguridad”.
BlackCat también alteró enormemente
Al igual que LockBit, una operación policial internacional dirigida por el FBI también logró infiltrarse y alterar la infraestructura de BlackCat. En diciembre, la operación penetró en los servidores de BlackCat y cerró el sitio de filtración después de incautar con éxito cientos de pares de claves para los sitios Tor de BlackCat.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.