Kawałki tortu ransomware: dwie nazwy dominują w nielegalnej grze
Globalny krajobraz oprogramowania ransomware jest przedmiotem okresowych przeglądów i badań części społeczności infosec. W jednym z takich niedawnych przeglądów, firma zajmująca się bezpieczeństwem, Digital Shadows, opublikowała pewne ustalenia, które są przydatne i wnikliwe w tworzeniu szerszego obrazu oprogramowania ransomware.
Dwie nazwy dominują na scenie ransomware w I kwartale 2022 r.
Okres badany przez zespół badawczy obejmuje pierwszy kwartał 2022 roku. W ciągu pierwszych trzech miesięcy roku tylko dwie nazwy ransomware zdominowały większość ataków i infekcji ransomware. Dominujące szczepy to te same dwa, które widzisz we wszystkich wiadomościach, jeśli śledzisz ogólny krajobraz infosec - LockBit i Conti. Dwie firmy ransomware obsługujące tylko LockBit 2.0 i Conti były odpowiedzialne za prawie 60% wszystkich incydentów związanych z oprogramowaniem ransomware w tym kwartale.
Podział tortu kryminalnego między dwa gangi również nie jest równy. LockBit 2.0 był używany w 38% ataków ransomware w tym okresie, a gang Conti odpowiadał za prawie połowę z nich, 20%.
Inną ciekawą statystyką opublikowaną przez Digital Shadows jest liczba eksfiltrowanych zrzutów danych, które wyciekły online. Sam gang LockBit ujawnił rekordową liczbę 200 zestawów danych należących do 200 różnych ofiar w ciągu zaledwie trzech pierwszych miesięcy 2022 roku.
Wyciek potencjalnie poufnych informacji online stał się powszechną sztuczką w repertuarze cyberprzestępców atakujących oprogramowanie ransomware. Jest to prosta, ale często zaskakująco skuteczna metoda wywierania dodatkowej presji na zapłatę ofiary. Oczywiście nie wszystkie informacje są warte pieniędzy, które mogą zadać hakerzy, dlatego też tak wiele przecieków pojawia się, gdy ofiary odmawiają współpracy i zapłaty.
Conti wstrząśnięty, ale nie z obrazu
Grupa Conti była nieco wstrząśnięta w wyniku wstrząsów, jakie nastąpiły po prorosyjskiej proklamacji gangu. Wiele wewnętrznej korespondencji Conti, czatów, przepływu pracy i informacji organizacyjnych zostało opublikowanych online za pośrednictwem konta ContiLeaks na Twitterze. Badacze nie wierzą, że przecieki będą miały wystarczająco duży wpływ na działalność gangu, aby całkowicie je wyłączyć.
Oczywiście wśród strojów ransomware wciąż pojawiają się nowe nazwy. Przez pierwsze trzy miesiące 2022 r. Digital Shadows zarejestrowało sześciu osobnych nowych cyberprzestępców, w tym takie nazwy jak Pandora, Night Sky i x001xs.