En la primera mitad de 2024 seis grupos de ransomware fueron responsables de más de la mitad de este tipo de ataques, de acuerdo con un reporte de Unit 42, el grupo de investigadores de ciberamenazas de Palo Alto Networks.
El equipo de respuesta a incidentes monitoreó 53 bandas identificadas, en cuyos sitios web clandestinos los delincuentes nombran a sus víctimas y filtran datos robados.
Para su análisis, Unit 42 revisó los anuncios publicados en los sitios dedicados a filtraciones durante los primeros seis meses de 2024 y contabilizó 1,762 publicaciones.
Aunque en febrero pasado la firma reportó un aumento interanual de 49% en las presuntas víctimas publicadas, ahora con los datos semestrales observó un incremento aún mayor en 4.3% a la cifra preliminar.
El informe destaca que a pesar de que las autoridades desmantelaron el grupo hace seis meses, LockBit 3.0 sigue siendo la banda de extorsión y cifrado más prolífica, al menos hasta ahora.
Si bien la actividad de bandas como Ambitious Scorpius (distribuidores de BlackCat) y Flighty Scorpius (distribuidores de LockBit) ha disminuido en gran medida debido a las operaciones de las fuerzas del orden, otros grupos de amenazas como Spoiled Scorpius (distribuidores de RansomHub) y Slippery Scorpius (distribuidores de DragonForce), se han sumado a la lucha para llenar el vacío.
De acuerdo con Unit 42, las industrias más afectadas por el ransomware fueron manufactura (16.4 % de las publicaciones observadas), la atención sanitaria (9.6 %) y la construcción (9.4 %).
En orden de impacto, los 10 países que más sufrieron fueron: Estados Unidos, Canadá, Reino Unido, Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
Los seis grupos de ransomware más activos en 2024
Durante la primera mitad de 2024, LockBit 3.0 (Flighty Scorpius) registró 325 víctimas en su sitio de fugas, en comparación con las 928 de todo 2023. Esto fue más que suficiente para que se ubicara en la primera posición a mitad del año.
En segundo lugar se encuentra la banda Play (Fiddling Scorpius), que registró 155 víctimas durante el primer semestre de 2024, en comparación con las 267 del año pasado. Este salto hizo que el grupo pasara del cuarto puesto en 2023 al segundo en lo que va de año.
Mientras tanto, 8base (Squalid Scorpius) —un recién llegado del año pasado que se cree que es una nueva marca de Phobos— quedó en tercer lugar con 119 víctimas declaradas. El año pasado, los delincuentes presumieron 188 víctimas, lo que los colocó en la sexta posición.
Akira (Howling Scorpius), apodado el próximo gran éxito en el ransomware, quedó en el cuarto lugar, con 119 víctimas en lo que va del año. A modo de comparación: durante 2023 registró 192 víctimas y ocupó el quinto lugar.
BlackBasta (Dark Scorpius), con 114 víctimas, fue la quinta banda de ransomware más prolífica entre enero y junio. El año pasado ni siquiera llegó a estar entre los seis primeros.
Y, por último, Medusa (Transforming Scorpius) supuestamente infectó a 103 víctimas en lo que va de año. Tampoco llegó a estar entre los seis primeros en 2023.
Un par de bandas notables ausentes de la lista de este año incluyen a ALPHV/BlackCat (Ambitious Scorpius), que quedó en segundo lugar el año pasado con 388 víctimas, y CLOP (Chubby Scorpius), que ocupa el tercer lugar, con 364 víctimas en 2023.
