TM_626

8 25|11|2024 #626 Σύμφωνα με την Adacom , η δραστηρι- ότητα ransomwa re αυξήθηκ ε σημαντικά το δεύτερο τρίμηνο του 2024, καθώς οι επιτιθέμενοι φαίνεται να ανέκτησαν τη δυναμική τους μετά την αναστάτωση που σημειώθηκε στα τέλη του 2023 και στις αρχές του 2024. Η ανάλυση δεδομένων από ιστότοπους διαρροής ransomware διαπίστωσε ότι οι δράστες πραγματοποίησαν 1.310 επιθέ- σεις το δεύτερο τρίμηνο του 2024, μια αύξηση 36% σε σχέση με το πρώτο τρί- μηνο του τρέχοντος έτους. Αυτός ήταν ο δεύτερος υψηλότερος αριθμός επιθέ- σεων που διεκδίκησαν σε ένα τρίμηνο οι φορείς ransomware, υπολειπόμενος του ρεκόρ των 1.488 επιθέσεων που διεκδι- κήθηκαν το τρίτο τρίμηνο του 2023. Αυτή η αύξηση των επιθέσεων οφείλε- ται στην πλήρη ανάκαμψη του LockBit από την αναστάτωση που υπέστη μετά από μια διεθνή επιχείρηση επιβολής του νόμου τον Φεβρουάριο του 2024. Το LockBit, το οποίο διαχειρίζεται η ομάδα κυβερνοεγκλήματος Syrphid, ήταν επί μακρόν η πιο παραγωγική επιχείρηση ransomware, αλλά παρουσίασε μια πτώ- ση στη δραστηριότητά της το πρώτο τρίμηνο του τρέχοντος έτους. Ωστόσο, οι επιθέσεις LockBit αυξήθηκαν σημαντικά το δεύτερο τρίμηνο του 2024 και με 353 επιθέσεις που δηλώθηκαν αυτό το τρίμη- νο, είναι πλέον υψηλότερες από ποτέ. Ένας άλλος παράγοντας που οδήγησε στη συνολική αύξηση των επιθέσεων ήταν η εμφάνιση πολλών φορέων που κατέλαβαν τον χώρο που κάποτε ήλεγχε η επιχείρηση ransomware Noberus, που έχει πλέον αποχωρήσει. Επικεφαλής με- ταξύ αυτών των διαδόχων ήταν η Qilin (γνωστή και ως Agenda), η οποία εμφα- νίστηκε για πρώτη φορά στα τέλη του 2022 και φέρεται να λειτουργεί ως επιχεί- ρηση ransomware-as-service (RaaS). Οι επιθέσεις που ανέλαβε η Qilin αυξήθη- καν κατά 47% σε 97 το δεύτερο τρίμηνο του 2024. Το Play, το οποίο φέρεται να έχει ανοίξει μια επιχείρηση RaaS, είδε τις επιθέσεις του να αυξάνονται κατά 27% σε 89 το δεύτερο τρίμηνο. Ίσως η πιο σημαντική αύξηση στις κα- ταγγελλόμενες επιθέσεις αφορούσε την RansomHub, η οποία εμφανίστηκε για πρώτη φορά μόλις τον Φεβρουάριο του 2024, αλλά φαίνεται ότι κέρδισε γρήγο- ρα τους συνεργάτες της για τη λειτουρ- γία RaaS. Οι επιθέσεις της RansomHub υπερτριπλασιάστηκαν το δεύτερο τρί- μηνο σε 75, από 23 το πρώτο τρίμηνο του τρέχοντος έτους. Η αύξηση της δρα- στηριότητας της RansomHub την έχει θέσει στο κέντρο του οικοσυστήματος ransomware και ήταν η τέταρτη πιο πα- ραγωγική οικογένεια ransomware το δεύτερο τρίμηνο. Για άλλη μια φορά, υπήρχαν έντονες δια- φορές μεταξύ των συνολικών δημοσίως δηλωμένων επιπέδων δραστηριότητας και της δραστηριότητας ransomware που διερευνήθηκε από τη Symantec. Ενώ το LockBit και στις δύο περιπτώσεις καταμετρούσε το μεγαλύτερο ποσοστό των επιθέσεων, διεκδίκησε το 27% όλων των δημοσίως αναφερόμενων επιθέσε- ων και ήταν υπεύθυνο για το 19% όλων των επιθέσεων που διερευνήθηκαν από τη Symantec. Αντίθετα, το Play ήταν πίσω από το 19% όλων των επιθέσεων που διερευνήθηκαν από τη Symantec, αλλά αντιπροσώπευε μόνο το 7% όλων των επιθέσεων που δηλώθηκαν δημοσίως. Η σύγκριση μπορεί να δώσει κάποιες ενδείξεις για τα ποσοστά επιτυχίας που γνώρισαν οι φορείς που συνδέονται με κάθε επιχείρηση. Για να αναγνωρίσει η Symantec μια επίθεση ως συνδεό- μενη με μια συγκεκριμένη οικογένεια ransomware, η επίθεση πρέπει να προ- χωρήσει στο στάδιο όπου οι επιτιθέ- μενοι επιχειρούν να αναπτύξουν ένα ωφέλιμο φορτίο. Αυτό υποδηλώνει ότι οι επιτιθέμενοι που χρησιμοποιούν το Play είναι πιο πιθανό να προχωρήσουν τις επιθέσεις τους τουλάχιστον μέχρι το στάδιο ανάπτυξης του ωφέλιμου φορ- τίου. Παρόλο που ο φορέας μπορεί να μην ανακαλύπτεται για κάθε επίθεση ransomware, τα διαθέσιμα στοιχεία δεί- χνουν ότι οι επιτιθέμενοι συνεχίζουν να προτιμούν την εκμετάλλευση γνωστών ευπαθειών σε εφαρμογές με δημόσια θέα ως μέσο πρόσβασης. Αυξημένη δραστηριότητα ransomware το Β’ τρίμηνο του 2024