LockBit vuelve a ser el grupo de ransomware más activo, pese a su desarticulación

La infame banda concentró un mes más el mayor porcentaje de estos ataques, copando el 37% de los mismos en mayo.

Alberto Payo

Periodista

Guardar

Lockbit fue el responsable de los ataques a los ayuntamientos de Sevilla y Calviá.
Lockbit fue el responsable de los ataques a los ayuntamientos de Sevilla y Calviá.

La popular banda de ransomware LockBit está lejos de su final. Así al menos lo evidencian los números que ha compartido la firma NCC Group, que la sitúa como la pandilla con más ataques de este tipo durante el mes de mayo. 

En el quinto mes del año estos ciberdelincuentes fueron los responsables del 37% de todos los incidentes de ransomware, o 176 ataques, lo que supone un aumento del 665% en el volumen de ataque. 

Por detrás, pero a muchísima diferencia, se sitúa Play Gang. Este grupo solo llevó a cabo 32 amenazas. La tercera posición sería para RansomHu, con 22 incidentes contabilizados. 

El top 10 estrenó durante el mes pasado algunos jugadores, como Arcus Media, Underground y DAn0N. Este último, que fue descubierto en abril y se caracteriza por usar el método de doble extorsión, protagonizó 13 incursiones. La novena plaza fue para Underground, con 12 ataques.

Arcus Media, un operador de ransomware recientemente establecido que no cambia el propósito ni la marca de su malware, haciéndola exclusiva, se aupó al décimo puesto con 11 infracciones. 

¿Ha vuelto LockBit 3.0?

En febrero varias agencias de Norteamérica, Europa y Asia le asestaron a LockBit un importante golpe, llegando a confiscar 34 servidores, hacerse con su sitio de filtraciones basado en Tor y congelar sus billeteras de criptomonedas, recopilando información técnica sobre la infraestructura del grupo. También obtuvieron miles de claves de descifrado del grupo. 

Desde entonces, el gobierno de EE.UU. ha anunciado una recompensa de 10 millones de dólares a quien ofrezca información fundamentada sobre los líderes de la banda, incluyendo su presunto cerebro, Dimitry Yuryevich

Sin embargo, a finales de febrero los operadores de LockBit lanzaron un nuevo sitio de filtraciones. ¿Entonces se ha recuperado esta banda pese a la operación policial?

“Es posible que en medio de las acciones policiales, LockBit no sólo retuviera a sus afiliados más capacitados sino que también atrajera a otros nuevos, lo que indica su determinación de persistir. Alternativamente, el grupo podría estar inflando sus números para ocultar el verdadero estado de su organización”, deja caer el jefe de inteligencia de amenazas del Grupo NCC, Matt Hull.

Este responsable explica como durante mayo el número de ataques contra organizaciones en Sudamérica y África creció significativamente, quizás porque dichas regiones se usan para probar nuevo malware y nuevos métodos de ataque. 

Durante el intervalo el sector industrial fue el más atacado, con 143 incidentes. En segunda posición se situó el tecnológico, recibiendo 72 incursiones.