.
A derrubada do LockBit em fevereiro está começando a dar frutos para gangues rivais, com o Play ultrapassando-o após um período de oito meses em que o LockBit liderou as paradas de ataque.
Pela primeira vez desde a derrubada do LockBit liderada pela Agência Nacional do Crime, a gangue não registrou o maior número de ataques em um único mês, sugerindo que as alegações das autoridades de uma interrupção bem-sucedida eram válidas.
Quando a pessoa que os policiais acreditam ser o líder da LockBit, Dmitry Khoroshev, foi desmascarada há duas semanas, a NCA também atualizou o mundo sobre a operação da LockBit, dizendo que ela estava “funcionando com capacidade limitada” e que a ameaça que a gangue representa para o mundo era “significativamente reduzido.”
As conclusões do Grupo NCC, publicadas hoje, também levam em conta o entendimento de que a LockBit estava repassando organizações que havia atacado antes da operação de interrupção da NCA para manter as aparências.
Por exemplo, um dia antes de seu principal suspeito ser desmascarado, o blog de vazamento do LockBit postou 43 supostas novas vítimas, muitas das quais os observadores de ransomware já haviam visto postadas antes. Uma universidade canadense, uma empresa de saúde dos EUA e uma empresa de software do Reino Unido foram reivindicadas anteriormente em dezembro de 2023.
O Grupo NCC, no entanto, insiste que apenas um ataque duplicado foi incluído no conjunto de dados específico que serviu de base à sua investigação.
Suas descobertas mostram que, em abril, a LockBit postou apenas 23 organizações (incluindo uma duplicada) – uma queda de 60% em comparação com seus números anteriores à apreensão (com os ataques duplicados contabilizados). Play, Hunters e Ransomhub ocuparam os três primeiros lugares, respectivamente.
A atividade global de ransomware caiu 15% em relação ao mês anterior, mas aumentou 1% em relação ao ano anterior – uma descoberta que o NCC Group acredita ser devida tanto à derrubada do LockBit em fevereiro quanto à crescente adoção de IA por cibercriminosos.
“Apesar das derrubadas bem-sucedidas de grandes grupos como o LockBit, agora não é o momento de desacelerar os esforços de proteção contra ameaças cibernéticas”, disse Matt Hull, chefe global de inteligência de ameaças do Grupo NCC.
“O aumento contínuo de atores de ameaças novos e igualmente ameaçadores, juntamente com o desenvolvimento constante da IA e de tecnologias emergentes, representa um risco único para a sociedade que devemos colaborar globalmente para mitigar.”
“O aumento anual nos ataques de ransomware está provavelmente ligado à explosão da IA, revolucionando a forma como os agentes de ameaças podem operar. agir rapidamente para não acabarmos tentando alcançar esses atores de ameaças.”
Mudanças regionais
A América do Norte e a Europa foram, sem surpresa, novamente os dois continentes mais visados pelo ransomware. É muito comum que isso aconteça, visto que a maioria dos criminosos de ransomware residem em países que são adversários das principais economias do Ocidente.
Como tal, 80% de todos os ataques de ransomware tiveram como alvo organizações nos dois continentes, mas nenhum mais do que a América do Norte, que resistiu a 58% do total global. A Europa foi o segundo país mais visado, com 35% do total global, uma diminuição de 7% em relação ao mês anterior.
Dito isto, os investigadores citaram conclusões de um relatório de Abril da empresa de segurança Performanta, que afirmava que os países em desenvolvimento em África e na América do Sul podem tornar-se um “campo de provas” para novos malwares experimentais. A realização de workshops sobre cenários de ataque contra organizações em África será provavelmente considerada como tendo menos riscos associados, concluiu o relatório.
O Grupo NCC disse que poderemos, portanto, ver uma proporção crescente de ataques em países em desenvolvimento no futuro. ®
.
