Dicho esto, la actividad de CL0P solo representó alrededor del 9% de las publicaciones de filtración de datos en 2023, posicionándolo en tercer lugar después de BlackCat (ALPHV) con casi el 10% y LockBit con el 23%. LockBit, una operación de ransomware como servicio (RaaS) que reunió a muchos afiliados después del cierre de grupos como Conti, Hive y Ragnar Locker, ha sido el grupo de ransomware más prolífico durante dos años consecutivos.
Recién llegados y desaparecidos del grupo de ransomware
Los nuevos grupos también jugaron un papel importante en el aumento de la actividad de ransomware, creando 25 nuevos sitios de filtración que representaron el 25% del número total de publicaciones de víctimas. Algunos de estos grupos han estado activos desde 2022, pero no tuvieron sitios de filtración hasta 2023. Cinco no tuvieron actividad en la segunda mitad del año, por lo que no está claro si todavía están activos o ya se han disuelto. Sin embargo, otros siguen activos, y los primeros son Akira y 8Base, cada uno de ellos con casi 200 publicaciones.
Akira es un grupo que fue observado por primera vez en marzo de 2023 y tiene vínculos sospechosos con el antiguo liderazgo del grupo Conti según las transacciones de criptomonedas observadas. 8base ha estado activo desde 2022 pero no reveló ninguna víctima hasta mayo de 2023.
El año pasado también estuvo ocupado para las fuerzas del orden en el espacio del ransomware con varias acciones que llevaron al cierre de grupos prominentes o sufrieron interrupciones significativas. Comenzó con una operación de la Oficina Federal de Investigaciones (FBI) de Estados Unidos que desmanteló la red de comando y control de Hive en enero de 2023. En octubre, una acción internacional coordinada por Europol supuso la incautación de la infraestructura de Ragnar Locker y en diciembre el FBI interrumpió las operaciones de BlackCat (ALPHV) y publicó una clave de descifrado. El grupo BlackCat no se ha disuelto, pero no está claro si podrá restaurar su reputación en el mundo cibercriminal.
Los investigadores de Palo Alto Networks también mencionan el posible cambio de nombre de otros dos grupos notables: Royal, que se destacó en 2022 con ataques contra objetivos de infraestructura crítica y que los investigadores creen que desde entonces ha cambiado su nombre a BlackSuit basándose en similitudes de código, y Vice Society, un grupo que atrae atención a sí mismo al apuntar a organizaciones de salud y educación y que múltiples investigadores han vinculado con el nuevo ransomware Rhysida.
La industria manufacturera fue la más afectada por el ransomware
La distribución de víctimas de ransomware muestra que la manufactura fue el sector más afectado, representando el 14% de las publicaciones de filtración de datos. A esto le siguieron los servicios profesionales y jurídicos, la alta tecnología, el comercio mayorista y minorista, la construcción, la atención sanitaria, los servicios financieros y la educación.
Por distribución geográfica, casi la mitad de las víctimas se encontraban en Estados Unidos, el 6,5% en el Reino Unido, el 4,6% en Canadá, el 4% en Alemania y el 3,4% en Francia. «Estados Unidos presenta un objetivo muy atractivo, especialmente cuando se examina Forbes Global 2000, que clasifica a las empresas más grandes del mundo según sus ventas, ganancias, activos y valor de mercado», dijeron los investigadores. “En 2023, Estados Unidos contaba con 610 de estas organizaciones, lo que representa casi el 31% de Forbes Global 2000, lo que indica una alta concentración de objetivos ricos”.