В ежемесячном отчете об угрозах команда NCC Group выявила общее снижение числа атак с использованием программ-вымогателей в июне. Большая часть активности пришлась на два вида вымогательского ПО как услуги (RaaS): LockBit и Black Basta. Вымогатели Conti в прошлом месяце практически исчезли с арены, отметившись лишь в одном инциденте.
Недавнее расформирование группировки Conti, а также сезонные колебания – две возможные причины снижения активности вредоносных программ.
“Продолжая недавние тенденции по количеству проведенных атак, общее количество снизилось с 236 в мае до 135 в июне, что представляет собой общее снижение на 42%”, – сообщается в блоге NCC Group.
Кроме того, по мнению экспертов на активность повлиял вывод из эксплуатации LockBit 2.0 и переход на LockBit 3.0. Общее количество атак, проведенных LockBit, уменьшилось с 95 в мае до 55 в июне, но только четыре атаки были опубликованы под новой версией LockBit 3.0. Согласно исследованию компании Dragos, в прошлом году на долю Conti и LockBit 2.0 приходилось более половины атак на промышленный сектор. Несмотря на сокращение активности, LockBit продолжает атаковать промышленные сектора и остается самой популярной RaaS-группой. Black Basta занимает второе место.
Но NCC Group ожидает, что передышка продлится недолго, и новые функции штамма LockBit 3.0, включая программу вознаграждения за ошибки, приведет к новому всплеску вымогательской активности.
NCC Group отметила 94-процентное снижение активности Conti после раскола внутри группы , случившегося в марте: в мае было совершено 17 атак, в июне – только одна. Компания объяснила резкое снижение активности расформированием Conti, а также интеграцией ее бывших членов в другие, более мелкие группы. По мнению экспертов, в число таких групп могут входить Black Basta и Hive. Кроме того, в отчете рассматривалась версия о возможном прекращении существования бренда Conti.
Ребрендинг – распространенная тактика RaaS, и, похоже, именно этим могут заниматься операторы, стоящие за Conti. NCC Group связала возможный ребрендинг с меньшим количеством инцидентов, наблюдавшихся в июне, поскольку члены группы восстанавливают свою репутацию. Однако в отчете содержится предупреждение о вероятном увеличении числа атак с использованием вымогательского ПО в ближайшие месяцы, поскольку LockBit и Black Basta нарастят свою активность.
Хотя активность программ-выкупов может меняться в зависимости от сезона, NCC Group изучила данные за прошлый год и пришла к выводу, что недавний спад, скорее всего, связан с произошедшими изменениями в группах. По прогнозам специалистов, когда LockBit 3.0 заработает в полную силу, объем атак со стороны злоумышленников возрастет, а основными целями атак будут промышленные предприятия, потребительские товары и технологии.
Источник: SecurityLab