Sementara volume serangan ransomware menurun, pergeseran aktivitas geng telah menggeser lebih banyak serangan ke sektor keuangan, kata para peneliti.
Pada hari Senin, perusahaan keamanan siber KELA merilis Korban Ransomware dan Penjualan Akses Web Laporan (PDF), ini menunjukkan bahwa jumlah korban ransomware utama turun sekitar 40%, dibandingkan dengan 982 pada kuartal keempat tahun 2021, yang tercatat pada 698 pada kuartal pertama.
Selama periode ini, perusahaan mencatat rata-rata 232 serangan ransomware per bulan.
Pergeseran penting adalah bahwa Conti telah menjadi salah satu kelompok ransomware paling produktif bersama dengan LockBit, Hive, Alphv/Blackcat, dan Karakurt.
Lihat: Apa itu ransomware?Semua yang perlu Anda ketahui tentang salah satu ancaman terbesar di web
Ketika datang ke Conte, tidak ada kehormatan di antara para pencuri. Geng Ransomware akan menargetkan rumah sakit semudah bisnis, sistem enkripsi dan menuntut pembayaran pemerasan yang besar sebagai ganti kunci dekripsi.
Dalam beberapa bulan pertama tahun ini, Conte secara terbuka menjanjikan dukungannya untuk invasi Rusia ke Ukraina. Mengikuti pernyataan kelompok berbahasa Rusia, sebagai pembalasan, seorang pria masuk ke sistemnya dan membocorkan kode malware Conti dan log obrolan internal — harta karun bagi para peneliti dan pengelola.
Sementara tim keamanan dapat memanfaatkan kerentanan ini untuk meningkatkan pemahaman mereka tentang operasi geng ransomware, hal itu juga memengaruhi tempat Conti dalam urutan prioritas.
Dalam beberapa bulan setelah kebocoran tersebut, Conte telah dipecat dari posisi teratas, menurut KELA. Saat masih aktif, daftar korban Conti tampaknya telah berkurang sejak Januari, dengan LockBit naik peringkat.
Selama kuartal pertama, LockBit mencapai 226 korban yang terdokumentasi, mulai dari manufaktur dan teknologi hingga sektor publik.
Namun, bersama dengan anak perusahaannya yang dipertanyakan Serigala hitamConti tetap menjadi geng ransomware paling aktif kedua di tahun 2022.
Alphv dilihat oleh KELA sebagai ancaman yang muncul bagi pemain baru dan tidak akan benar-benar mendapatkan daya tarik hingga Desember 2021. Kuartal pertama tahun 2022 adalah pertama kalinya Alphv/Blackcat masuk dalam daftar grup teraktif.
LIHAT: Berita buruk: Krisis keterampilan keamanan siber akan semakin parah
Beberapa geng ransomware, termasuk Midas dan Lorenz, juga mengubah taktik mereka. Metode intimidasi korban baru yang terdeteksi oleh perusahaan keamanan siber membuat grup memposting korban sebagai “perusahaan baru” di situs web yang bocor, dan jika bisnis menolak untuk membayar, postingan tersebut akan diedit untuk menyertakan merek.
Industri yang paling dibidik adalah manufaktur, industri, jasa profesional dan teknologi. Kenaikan LockBit dalam daftar aktivitas juga memengaruhi jumlah serangan yang terdokumentasi terhadap layanan keuangan, sekarang menjadikannya lima besar industri yang ditargetkan. Secara keseluruhan, LockBit menyumbang 40 persen serangan terhadap organisasi keuangan pada kuartal pertama.
Kami terkadang mendengar tentang malware yang dirancang untuk mendeteksi dan mem-bootstrap malware saingan dari sistem yang terinfeksi, dan dengan cara yang sama, kelompok ransomware berjuang untuk lokasi dan wilayah korban.
KELA mengatakan beberapa geng top telah diamati menyerang satu sama lain, atau setidaknya mengklaim menuntut korban yang sama.
Laporan tersebut menyatakan: “Pada 15 Januari 2022, sebuah dealer mobil AS diretas oleh Conti. Pada 23 Maret 2022, perusahaan itu terungkap sebagai korban di blog Alphv. Juga, pada 4 April 2022, Avos Locker memposting hal yang sama. perusahaan di situs webnya, berbagi tangkapan layar yang sama dengan Alphv dan file yang sama dengan Conti.
“Tidak jelas apakah ketiga kelompok itu berkolaborasi atau hanya kebetulan. Baru-baru ini, para peneliti menemukan bahwa geng Conti bertujuan untuk membuat kelompok ransomware otonom yang lebih kecil, bekerja dengan geng Alphv, AvosLocker, Hive, dan HelloKitty.”
Laporan sebelumnya dan terkait
Apakah ada tip? Hubungi dengan aman melalui WhatsApp | +447713 025 499 atau Sinyal di Keybase: charlie0