Los ataques de ransomware han aumentado en el segundo y cuarto trimestre de 2024, con 1.827 incidentes registrados (un tercio del total) durante estos tres meses finales del año. En el ejercicio completo se contabilizaron 5.414 ataques en organizaciones de todo el mundo, representando un aumento del 11% en comparación con 2023.
Así lo recoge un estudio publicado por Cyberint, una firma ahora propiedad de Check Point, que se encarga de investigar constantemente los últimos grupos de ransomware y los analiza para determinar su posible impacto.
Cabe destacar como en 2024 las fuerzas del orden llevaron a cabo operaciones contra grupos importantes como LockBit que provocaron cierta fragmentación, generando más competencia y un crecimiento de bandas más pequeñas.
Durante el intervalo el número de grupos de ransomware activos aumentó un 40%, pasando de 68 en 2023 a 95 el año pasado.
Hace dos años se identificaron 27 grupos nuevos, pero en 2024 hubo un crecimiento espectacular, con 46 grupos nuevos. A medida que el año transcurría la cantidad de grupos se aceleró y durante el Q4 hubo 48 grupos activos.
Entre las novedades destacó RansomHub, que se estableció como el dominante y llegó a superar la actividad de LockBit. Dicha banda se erigió como la más activa de 2024, perpetrando 531 ataques desde que inició sus operaciones en febrero del año pasado. Tras la interrupción del FBI de ALPHV se ha considerado a RansomHub como su sucesor espiritual, posiblemente 'heredando' algunos de sus afiliados.
El colectivo de cibermalos suele tener en su punto de mira a naciones como Cuba, Corea del Norte o China y a organizaciones no gubernamentales, mostrando las características de una configuración tradicional de grupo de ransomware ruso.
No obstante, la banda no tuvo mucho éxito con sus extorsiones. Los hallazgos de Cyberint muestran que solo el 11,2% de las víctimas pagaron (20 de 190) y las negociaciones a menudo redujeron las demandas.
Como segundo grupo de ransomware más activo, a no demasiada distancia de RansomHub, tenemos a LockBit 3.0. A esta banda se le atribuyen 522 ataques del pasado ejercicio.
Hay un descenso importante de incidentes para llegar a la tercera posición, donde nos encontramos con Play. Se le ha responsabilizado de 355 ataques. Akira ransomware le sigue, con 315 infracciones. El top 5 lo completa Hunters, con 227 ataques.
Después están Medusa (211), BlackBasta (183), Qilin (182), BianLian (168) e INC Ransom (159).
Otros grupos de ransomware más novatos
Otros grupos de nuevo cuño son Fog y Lynx. El primer apareció a principios de abril con ataques a las redes educativas de EE.UU. mediante el uso de credenciales VPN robadas. Se sirven de una estrategia de doble extorsión: publican datos en un sitio de filtración basado en TOR si las víctimas no se aflojan el bolsillo.
El año pasado Fog atacó a 87 organizaciones en todo el mundo. Tres cuartas partes de las mismas estaban vinculadas a Akira y el resto se atribuyó a Frog, lo que sugiere una infraestructura y colaboración compartidas.
Fog tienen en su punta de mira, principalmente, a la educación, los servicios empresariales, los viajes y el sector manufacturero, con especial atención a EE.UU. Una cosa bastante llamativa es que es uno de los pocos grupos de ransomware que priorizan el sector educativo como objetivo principal.
Por otro lado, ha demostrado una velocidad endiablada, con el tiempo más corto observado hasta la fecha (dos horas) desde el acceso inicial hasta el cifrado.
Otra pandilla neófita es Lynx, un grupo de ransomware de doble extorsión con una actividad incesante últimamente. Parece que esta banda tiene cierto 'código ético' ya que aseguran que evitan atacar a ONGs, hospitales, grupos sin fines de lucro y otros sectores sociales esenciales.
Solo en 2024 Lynx habría apuntado contra 70 víctimas, demostrando una actividad continua y una presencia significativa en el panorama del ransomware.
Teniendo en cuenta los datos del año anterior Cyberint se ha aventurado a hacer una pequeña proyección para este ejercicio. La firma anticipa que varios de estos grupos emergentes mejorarán sus capacidades y se alzarán como jugadores dominantes, más allá de RansomHub.