Zes ransomware-bendes achter meer dan 50% van de aanvallen in 2024 • The Register

Ondanks een inval door de politie zes maanden geleden, is LockBit 3.0 nog steeds de meest actieve encryptie- en afpersingsbende, althans tot nu toe, dit jaar, aldus Unit 42 van Palo Alto Networks.

Van de 53 ransomware-groepen waarvan de duistere websites, waar de criminelen hun slachtoffers bij naam noemen en gestolen gegevens lekken, door het incident response team werden gemonitord, waren er slechts zes verantwoordelijk voor meer dan de helft van het totale aantal waargenomen infecties.

Voor de analyse heeft Unit 42 de aankondigingen bekeken die in de eerste zes maanden van 2024 op de speciale leklocaties van deze ploegen zijn geplaatst. Er werden 1.762 berichten geteld, wat een stijging van 4,3 procent op jaarbasis betekent ten opzichte van 2023.

Voordat we ingaan op de telling van de zes grootste bendes, een opmerking over hoe Unit 42 groepen van natiestaten en cybercriminaliteit volgt: het combineert een modifier met een constellatie. En Scorpius is de gelukkige constellatie die Unit 42 verbindt met ransomware-bendes. Hier is de hoofdlijst, plus de algemene akas.

We gaan voor de algemene aka’s, met de namen van Unit 42 tussen haakjes bij de eerste verwijzing, want hoewel we betwijfelen of iemand buiten de beveiligingswinkel bekend is met “Flighty Scorpius”, is LockBit daarentegen in principe een bekende naam.

(En nog een opmerking voor Unit 42: je zult binnenkort geen bruikbare modificatoren meer hebben.)

Deze cijfers vergelijken bovendien de eerste helft van 2024 met heel 2023.

In de eerste helft van 2024 registreerde LockBit 3.0 (Flighty Scorpius) 325 slachtoffers op de leklocatie, vergeleken met 928 in heel 2023. Dit was meer dan genoeg om de bemanning halverwege de missie op de eerste plaats te brengen.

Op de tweede plaats: de Play (Fiddling Scorpius)-bende noemde 155 slachtoffers tijdens de eerste helft van 2024, vergeleken met 267 vorig jaar. Deze sprong bracht de groep van de vierde plek in 2023 naar de tweede plek tot nu toe dit jaar.

Ondertussen kwam 8base (Squalid Scorpius), een relatieve nieuwkomer van vorig jaar waarvan wordt aangenomen dat het een rebranding is van Phobos, op de derde plaats in de eerste helft van 2024 met 119 geclaimde slachtoffers. In 2023 eisten de criminelen 188 slachtoffers op, waarmee ze op de zesde plaats terechtkwamen.

Akira (Howling Scorpius), de next big thing in ransomware genoemd, kwam binnen op nr. 4, met tot nu toe 119 slachtoffers dit jaar. Ter vergelijking: in 2023 had het 192 slachtoffers en stond het op de vijfde plaats.

BlackBasta (Dark Scorpius) was met 114 slachtoffers de vijfde meest productieve ransomware-bende tussen januari en juni. Vorig jaar stond het niet eens in de top zes.

En tot slot zou Medusa (Transforming Scorpius) dit jaar tot nu toe 103 slachtoffers hebben geïnfecteerd. Ook in 2023 stond het niet in de top zes.

Een paar opvallende bendes die dit jaar niet op de lijst staan, zijn onder meer ALPHV/BlackCat (Ambitious Scorpius), die vorig jaar op de tweede plaats stond met 388 slachtoffers, en de op nummer 3 geplaatste CLOP (Chubby Scorpius), met 364 slachtoffers in 2023.

In het rapport worden ook enkele opvallende verstoringen genoemd die eerder dit jaar en eind 2023 plaatsvonden.

“De verwijdering van prominente ransomware-groepen, -forums en -individuen in de eerste helft van het jaar heeft een golfbeweging door het criminele ecosysteem veroorzaakt”, aldus het rapport.

In december 2023 werden door een FBI-operatie de websites van ALPHV/BlackCat in beslag genomen en werd een decryptietool voor de ransomware vrijgegeven.

Dat bracht de crew niet helemaal van de wijs, die weer tot leven kwam toen een partner de IT-systemen van Change Healthcare blokkeerde en apotheken in de VS sloot. ALPHV voerde een exit scam uit kort nadat het losgeld naar verluidt was betaald.

In februari werd de LockBit 3.0 Tor-site door de NCA offline gehaald en een maand later werd de leider ervan, Dmitry Khoroshev, ook bekend als LockbitSupp, ontmaskerd en bestraft.

In mei namen internationale agenten de controle over de website en het Telegram-kanaal van ransomware-makelaarssite BreachForums over. Een maand later arresteerden ze de leider van Scattered Spider, een andere APLHV-partner.

Natuurlijk kan het lijken alsof de opsporingsacties van wetshandhavers een spelletje ‘whack-a-mole’ zijn, omdat veel criminele websites terugkomen onder een nieuwe naam en een nieuwe beheerder (zoals BreachForums dat in de loop der jaren meerdere keren heeft gedaan, en onlangs nog in juni).

Bovendien veranderen sommige bendes succesvol van naam en veel van de ransomware-as-a-service-groepsfilialen verspreiden zich naar andere criminele organisaties na een inval. En zoals Unit 42 in het rapport heeft opgemerkt, zijn er genoeg nieuwkomers die graag een stap vooruit willen zetten en zich willen begeven in dit lucratieve criminele ecosysteem.

Al deze factoren spelen waarschijnlijk een rol bij de lichte stijging van het aantal gemelde ransomware-infecties ten opzichte van vorig jaar.

Enkele nieuwkomers die Unit 42 volgt, zijn:

• Verwende Scorpius (Distributeurs van RansomHub)
• Slippery Scorpius (Distributeurs van DragonForce)
• Burning Scorpius (Distributeurs van LukaLocker)
• Alpha/MyData-ransomware
• Trisec-ransomware
• DoNex-ransomware
• Quilong-ransomware
• Blackout-ransomware

Ondertussen dook er in juni 2024 een nieuwe ransomware-stam op met de naam Brain Cipher, nadat een team het Temporary National Data Center (PDNS) van Indonesië had gehackt en de diensten van het land had verstoord. Die malwarecode is naar verluidt gebaseerd op LockBit 3.0.

“We hebben een Brain Cypher-monster geanalyseerd dat is gebruikt bij een aanval op een Indonesisch doelwit, en onze bestaande LockBit 3.0-preventie- en detectiehandtekeningen werkten ook op dit monster”, aldus Unit 42.

“Ondanks alle inspanningen van de wetshandhaving om de meest voortvarende ransomware-dreigingen te ontmantelen en uit te roeien, zijn er nog steeds genoeg zeer kundige en gemotiveerde groepen die bereid zijn in te grijpen en het gat te vullen”, vermoeden de cybercriminelen.

“Het succes en de daaropvolgende explosie van ransomware in de afgelopen jaren hebben geleid tot een steeds groter wordende groep individuen en groepen die gokken op hun kans op roem en fortuin.” ®