Af Eskil Sørensen, 26/06/24
”Er LockBit tilbage?” Sådan lyder en overskrift i Security Week efter rapporter om, at ransomwaregruppen LockBit ser ud til igen at være blevet aktiv.
Gruppen blev ellers taget ned efter en storstilet aktion med deltagelse af flere myndigheder fra Nordamerika, Europa og Asien. En aktion, der omfattede beslaglæggelse af 34 servere, overtagelse af den Tor-baserede lækageside, indefrysning af konti med kryptovaluta og indsamling af information om gruppens tekniske infrastruktur.
En indsats der også indbefattede, at der blev udlovet op til 10 mio dollars for information om ledere af LockBitgruppen, anklager mod personer tilknyttet banden, herunder anklager mod den formodede ”mastermind” Dimitry Yuryevich Khoroshev og udtrækning af over 7.000 LockBit-krypteringsnøgler.
Men nu viser analyser, at LockBit igen ser ud til at være den mest aktive ransomware-gruppe, fremgår det af artiklen i Security Week. Omend eksperter mener at vide, at det også kan være oppustede tal. I al fald har LockBit-gruppen hævdet at være ansvarlig for en betydelig stigning i angrebsvolumen i maj 2024, hvilket igen ville gøre den til den mest aktive ransomware-bande. Dette viser en ny rapport fra NCC Group, som Security Week henviser til.
Nyt lækagested
I al fald lancerede LockBit-gruppens operatører i slutningen af februar et nyt lækagested, hvor de hævdede, at de var i stand til at genoprette noget af den nedtagede infrastruktur, og derfra fortsatte gruppen så med at angribe organisationer over hele verden, men dog i et meget langsommere tempo sammenlignet med niveauerne før nedtagningen.
Og så i maj, hvor der blev konstateret en samlet stigning i ransomware-angreb globalt på 32 pct. fra måned til måned og 8 pct. på årsbasis, blev LockBit tilsyneladende igen den mest fremtrædende ransomware-gruppe. NCC skriver i sin rapport, at LockBit tegnede sig for 176 angreb, hvilket svarer til omkring 37 % af alle ransomware-hændelser. Dette repræsenterer en stigning på 665 % i angrebsvolumen.
Den næstmest aktive ransomware-gruppe er Play-banden med 32 angreb, mens RansomHub siges at være den tredjemest aktive med 22 angreb. I maj var den industrielle sektor mest påvirket med 143 angreb, mens og teknologisektoren kom på andenpladsen med 72 ransomware-angreb. En mere præcis brancheopdeling fremgår ikke af rapporten.
NCC skriver i sin rapport ifølge Security Week, at "det er muligt, at LockBit, midt i myndighedernes indsats for at tage gruppen ned, ikke kun beholdt sine mest dygtige tilknyttede selskaber, men også har tiltrukket nye, hvilket signalerer deres vilje til at fortsætte.” "På den anden side kan gruppen også puste sine tal op for at holde gruppens tilstand skjult", fremgår det.
Ifølge NCC Group steg antallet af angreb mod organisationer i Sydamerika og Afrika ”markant” i maj. NCC Group vurderer, at det sandsynligvis skyldes, at de nævnte regioner bruges til at teste ny malware og angrebsmetoder.
Links:
https://www.securityweek.com/lockbit-ransomware-again-most-active-real-attack-surge-or-smokescreen/