LockBit 3.0 duikt weer op met een duizelingwekkende toename
Volgens de May Threat Pulse van NCC Group zijn de wereldwijde ransomware-aanvallen met 32% maand-op-maand (356 tot 470) en 8% (435-470) jaar-op-jaar toegenomen.
Als gevolg van een aanzienlijke verschuiving in het ransomware-landschap is LockBit 3.0 opnieuw opgedoken en heeft het de eerste plaats veroverd onder de meest prominente bedreigingsactoren. De groep, die voorheen inactief was na de vernietiging van de groep, was verantwoordelijk voor 37% van alle aanvallen – een duizelingwekkende stijging van 665% maand-op-maand (176). Play werd naar de tweede positie gestoten met 32 aanvallen (7%) en RansomHub behield de derde positie met 22 aanvallen (5%), een daling van 19% op maandbasis.
Nieuwkomers in de top 10 van bedreigingsactoren in mei zijn Arcus Media, Underground en DAn0N. Op de 8e plaats met 13 aanvallen (3%) werd Dan0N voor het eerst opgemerkt in april en lijkt de voorkeur te geven aan de dubbele afpersingsmethode. Op de 9e plaats en ook voorstander van de dubbele afpersingstechniek is Underground met 12 aanvallen (3%).
Ten slotte gaat de 10e plaats met 11 aanvallen (>3%) naar Arcus Media, een nieuw opgerichte ransomware-operator die zijn malware niet opnieuw opzet of een nieuwe merknaam geeft, waardoor deze volledig uniek is voor hun activiteiten.
Ongebruikelijke aanzienlijke toename van aanvallen op Zuid-Amerika
Bedreigingsactoren blijven hun inspanningen richten op Noord-Amerika en Europa met 77% van de gevallen, waarmee de trend voor 2024 wordt voortgezet. Ondanks dat het totale aantal aanvallen tegen slachtoffers in Noord-Amerika sinds april met 11% is gestegen, is het aandeel van de totale mondiale aanvallen waarvan de regio daalde van 58% naar 49%, terwijl de aanvallen in Europa met 65% toenamen.
Zoals verwacht is er een aanzienlijke toename van het aantal aanvallen in Zuid-Amerika. Proportionele aanvallen zijn maandelijks gestegen van 5% naar 8%, een stijging van 60%. Ondertussen is het aandeel van Afrika in de mondiale aanvallen gestegen van 3% in april naar 8% in mei, een stijging van 167%. Zoals vermeld in het rapport van vorige maand zou dit te wijten kunnen zijn aan het feit dat de regio's worden gebruikt als “proeftuin” om de levensvatbaarheid van nieuwe malwarepakketten en aanvalsmethoden te testen.
De industriële sector blijft de sectoraanvallen domineren
De industriële sector blijft sinds januari 2021 de sector die het meest het doelwit is, nadat er in mei 2024 143 aanvallen (30%) plaatsvonden, tegen 116 in april. Ondanks dat de stijging in een lager tempo verliep dan het mondiale totaal (32% hoger in mei dan in april), daalde het proportionele aandeel slechts van 31% naar 30%. Dit onderstreept hoe prominent de sector zich richt op ransomware-bedreigingsactoren.
Op de tweede plaats zag de technologiesector ook een aanzienlijke toename van het aantal aanvallen, van 49 naar 72 (47%) maand-op-maand. Deze stijging wordt gedreven door de waarde van data en intellectueel eigendom, substantiële financiële middelen en de rijke omgeving van data en verbonden apparaten in technologiebedrijven, die talloze doelwitten bieden voor cybercriminelen.
Terwijl de sectoren Industrie en Technologie een stijging kenden, kende de sector Consumer Cyclicals op de derde plaats een lichte daling van het aantal aanvallen, van 62 in april naar 59 in mei. Over het geheel genomen benadrukt de aanzienlijke toename van het totale aantal ransomware-aanvallen – 114 meer dan in april – een groeiend en veranderend landschap van cyberdreigingen.
Matt Hull, Global Head of Threat Intelligence bij NCC Group, zei: "Na de verwijdering van LockBit 3.0 eerder dit jaar is er gespeculeerd of de groep eenvoudigweg zou verdwijnen, zoals we hebben gezien bij andere bedreigingsgroepen zoals Hive. De huidige stijging van het aantal slachtoffers doet echter een ander verhaal vermoeden. Het is mogelijk dat LockBit, te midden van wetshandhavingsacties, niet alleen zijn meest bekwame partners heeft behouden, maar ook nieuwe heeft aangetrokken, wat aangeeft dat ze vastbesloten zijn om door te gaan. Als alternatief zou de groep hun aantal kunnen opdrijven om de ware toestand van hun organisatie te verbergen. De komende maanden zullen uitwijzen of LockBit de aanvalscijfers van mei kan volhouden, en ons dreigingsinformatieteam bij NCC Group zal de activiteiten van de groep nauwlettend in de gaten houden."