As indústrias mais impactadas
O relatório da GRIT mostra um aumento de 38% nas vítimas públicas de ransomware em comparação com o primeiro trimestre de 2023 e um aumento surpreendente de 100% em relação ao segundo trimestre de 2022. Manufatura e tecnologia, representando 14% e 11% dos setores afetados, respectivamente, continuam sendo os setores mais afetados, um tendência que persistiu a partir das observações do GRIT em 2022 e no primeiro trimestre de 2023.
As indústrias de consultoria (+236%) e seguros (+160%) experimentaram o maior crescimento relativo em ataques de ransomware observados, em contraste com o declínio relativo experimentado pelos governos (-61%) e a indústria automotiva (-59%).
O GRIT observou novamente um aumento na atividade de grupos de Ransomware-as-a-Service (RaaS) ao longo do trimestre, atribuído a 14 novos grupos que iniciaram operações no segundo trimestre de 2023. Isso representa um aumento de 260% nos grupos “First Seen” em comparação com Q1. A liderança dominante da LockBit na economia de Ransomware-as-a-Service (RaaS) pode ser observada em todos os cinco setores mais afetados, exceto saúde, onde enfrentou a concorrência de Bianlian e Karakurt.
“O segundo trimestre de 2023 continuou a destacar a crescente ameaça de ransomware enfrentada por organizações em todo o mundo, tanto de gangues de ransomware estabelecidas quanto de grupos oportunistas emergentes ou efêmeros”, disse Drew Schmitt , analista líder da GRIT.
“As barreiras reduzidas à entrada oferecidas pelas economias de Crimeware-as-a-Service e Ransomware-as-a-Service quase certamente encorajarão mais participantes daqui para frente e, embora a reutilização de malware e ransomware históricos forneça uma vantagem para bem- defensores preparados e com recursos, organizações menores ou com menos recursos enfrentarão um risco maior devido ao maior volume de ameaças”, continuou Schmitt.
Grupos de ransomware versus correlação de eventos observados
Para o primeiro semestre de 2023, a correlação entre o número total de grupos de ransomware e o total de eventos de ransomware observados sugere que novos grupos emergentes contribuem diretamente para o aumento do total de vítimas.
Os eventos de ransomware observados no segundo trimestre são visivelmente maiores do que no primeiro trimestre, mês a mês. Os picos observáveis no final de março, maio e junho são o resultado de eventos de exploração de vulnerabilidade em massa (GoAnywhere, PaperCut e MOVEit , respectivamente) atribuídos ao Clop e outros grupos de ransomware. A campanha MOVEit foi responsável por 6% dos ataques de junho e 94% do total de Clop no segundo trimestre.
O LockBit continua sendo o grupo de ameaças de ransomware mais prolífico, apesar de ter experimentado um declínio de 10% no volume de vítimas observado no segundo trimestre em relação ao primeiro trimestre. O AlphV é o segundo grupo de ransomware mais ativo no segundo trimestre, com um aumento de 50% no volume de vítimas em relação ao primeiro trimestre. O 8Base é um recém-chegado, mas é o terceiro ator mais ativo no segundo trimestre, responsável por 9% de todos os ataques de ransomware observados. Bianlian e Clop completam os cinco grupos de ransomware mais ativos no segundo trimestre.
8Base e Akira, dois grupos de ransomware que ganharam destaque no segundo trimestre, surpreenderam os pesquisadores de segurança com a velocidade com que se estabeleceram como atores prolíficos. Somente no segundo trimestre, o 8Base foi responsável por 107 incidentes de ransomware observados, e o Akira foi responsável por 60, colocando ambos entre os 10 grupos de ransomware mais impactantes.
O GRIT observou um aumento de grupos de ransomware impactando sistemas e distritos escolares públicos e sem fins lucrativos. Historicamente, grupos preocupados com a imagem afirmaram que esses tipos de alvos estão “fora dos limites”, exceto nos casos em que a organização é privada e/ou gera receita. No entanto, os grupos estão cada vez mais evitando essa norma, indicando uma mudança no cálculo, especialmente se as escolas públicas forem mais fáceis de violar, pagar resgates de forma mais consistente ou resultar em exfiltração de dados particularmente confidenciais.
A prevalência de criadores de ransomware vazados continuou a reduzir as barreiras à entrada de grupos emergentes de ransomware. Mais notavelmente, os criptografadores para Babuk, LockBit e Conti vazaram online, permitindo que agentes de ameaças com menor experiência técnica ou familiaridade com criptografia alterem ligeiramente e implantem ransomware totalmente funcional.
“Desde a rápida diversificação da lista de ameaças de ransomware, passando por ransomware e crimeware reciclados, até mudanças de extorsão com foco em dados, o GRIT continua monitorando e relatando a mudança de TTPs no ecossistema de ransomware”, disse Schmitt. “O compartilhamento de informações da comunidade e da aplicação da lei continua sendo fundamental para identificar e impedir a eficácia dos grupos de ransomware, e o GRIT continua dedicado à missão de aumentar o compartilhamento de inteligência de ameaças por meio de parcerias públicas e privadas.”
FONTE: HELP NET SECURITY