LockBit sigue siendo el ransomware más activo tras la desaparición de Conti

  • Endpoint

ransomware

Disponible en forma de ransomware como servicio, los ataques de LockBit son llevados a cabo por afiliados que pagan a la organización el 20% de los rescates que reciben. La industria de servicios siguió siendo el sector industrial más afectado, y los Estados Unidos el país más atacado.

Recomendados: 

Generando entornos de datos modernos. Webinar

SASE. El futuro de la seguridad en la red. Acceder 

Según el último informe mensual de Malwarebytes Threat Intelligence, en junio, LockBit fue el ransomware más activo, al igual que lo ha sido durante todo el año. El mes también fue notable por la desaparición de Conti y el gran número de ataques de grupos presuntamente vinculados con el grupo disuelto.

La industria de servicios siguió siendo el sector industrial más afectado, y los Estados Unidos el país más atacado. El número de ataques en los Estados Unidos continuó empequeñeciendo a otros países, con más víctimas conocidas que Canadá y todos los países europeos combinados.

LockBit se ofrece en forma de ransomware como servicio (RaaS). Los ataques son llevados a cabo por afiliados que pagan a la organización detrás de LockBit el 20% de los rescates que reciben a cambio de usar su software y servicios. Y mientras que algunas bandas de ransomware parecen querer decirle al mundo lo que piensan y lo grandes que son, LockBit parece preocuparse más por lo que piensan sus usuarios.

A los afiliados se les dice: "si no encuentra una de sus características favoritas, infórmenos", y se les dice que "es muy importante para nosotros conocer todas nuestras fortalezas y debilidades". Dice "nunca hemos engañado a nadie y siempre cumplimos nuestros acuerdos". Es esta combinación de atractivo para los afiliados y la capacidad de evitar errores costosos es lo que parece estar detrás de su éxito este año.

Como era de esperar, el último vestigio público de la banda de ransomware Conti, su sitio de filtración, desapareció en junio, después de unas semanas de inactividad. El sitio desapareció el 22 de junio y permanece inactivo. Cuando los ingresos del grupo se agotaron, sus líderes supuestamente tramaron un complot para retirar la marca dispersando a sus miembros en otras bandas de ransomware como BlackBasta, BlackByte, KaraKurt, Hive y ALPHV, y luego fingieron su propia muerte.

El cierre de Conti se ha solapado con la llegada de BlackBasta en abril y un gran aumento en la actividad (y la aparición de un nuevo sitio de filtración) por parte de KaraKurt en junio. Puede ser una coincidencia, pero el mes pasado la actividad combinada de BlackBasta, BlackByte y KaraKurt alcanzó niveles similares a los de Conti.