Efter ett 2021 belägrat av ransomware fortsätter attackvolymerna att öka under 2022. Faktum är att en rapport som publicerades på tisdagen indikerar att under bara de första tre månaderna av detta år nästan fördubblade volymen av ransomware-detektering den totala volymen som rapporterades för hela förra året . 

De allt högre siffrorna kom trots vad som verkade vara undergången för en stor ransomware-grupp i slutet av 2021: REvil. Detta tjänar som ett bevis på kriminella aktörers uthållighet när det gäller att reformera, ändra varumärken och omgruppera sina kriminella gäng för att tjäna rejält på ransomware-taktik.

Denna ihärdighet har senast studerats av säkerhetsforskare som har noterat den snabba ökningen av Black Basta ransomware-gänget under de senaste två månaderna, snabbt efter uppkomsten av LAPSUS$ grupp tidigare i år.

Ransomware 2022 Volymer: Upp, Upp, Upp

Siffrorna idag kommer i form av kvartalsvisa "Internetsäkerhetsrapport” från WatchGuard Threat Lab, som undersöker hottrender under första kvartalet 1. Forskare med företaget rapporterar att unika upptäckter av ransomware under årets tre första månader var tredubbla volymen under samma tidsperiod 2022. Samtidigt motsvarade det första kvartalet 2021 ransomware-volymen mer än 1 % av den totala volymen som registrerades under hela 2022.

"Baserat på den tidiga ökningen av ransomware i år och data från tidigare kvartal, förutspår vi att 2022 kommer att slå vårt rekord för årliga upptäckter av ransomware", säger WatchGuards säkerhetschef Corey Nachreiner och noterar att det senaste årliga högvattenmärket för ransomware-volymen kom. tillbaka 2018.

LAPSUS$ tar steget upp i tunnelbaneekonomin

Rapporten från hans team förklarar att även inför högprofilerade arresteringar och anklagelser som gjorts av US och ryska myndigheter i slutet av 2021 och början av 2022, vilket resulterade i störningen av det produktiva REvil ransomware-gänget, fortsätter ransomware-träffarna att komma. Deras analys visar att REvils avbrott "öppnade dörren" för LAPSUS$ att växa fram på ett stort sätt.

"LAPSUS$-gruppen skapade globala rubriker med sina dubbel utpressning ransomware-tekniker som fick cybersäkerhetsbeslutsfattare att lägga märke till”, står det i rapporten. "Gruppen var känd för att anställa anställda i organisationer för att stjäla information från insidan och sedan använda utpressningstekniker för att utpressa offerorganisationer. Deras offerlista gjorde också beslutsfattare uppmärksamma. Microsoft, Nvidia, Samsung, Ubisoft, Okta och T-Mobile är alla offer för LAPSUS$."

Denna typ av återupplivande av nya grupper borde dämpa säkerhetsteams firande av bortfallet av grupper som REvil och Conti, som i maj rapporterades ha lagt ner sin verksamhet. Statistik från NCC Group visa en liten nedgång i attacker den månaden, med en varning om att andra chefer för ransomware-gänget Hydra redan började dyka upp.

Black Basta: New Kid på Ransomware-blocket

Senast har Black Basta ransomware-gänget rusat in på scenen. Tidigare i månaden, två separata rapporter från Uptycs och NCC Group visade att Black Basta riktade in sig på ESXi-baserade system och servrar bland andra offer, och utnyttjade Qbot malware-familjen (aka Qakbot) för att upprätthålla uthållighet på nätverk den går efter. 

"Även om Black Basta inte är först med att utveckla funktioner mot ESXi (LockBit, Hive och Cheerscrypt har redan visat ESXi-förmåga), visar detta den relativa sofistikeringen hos de team som arbetar under Black Basta som utför ransomware-operationerna," sa Jake Williams, verkställande direktör för cyberhotspaning på SCYTHE, i ett uttalande till Dark Reading. "Användning av skadlig programvara som Qakbot visar att det inte finns något som heter en "varu"-skadlig programvara. Organisationer måste behandla varje upptäckt av skadlig programvara som en möjlighet för en hotaktör att distribuera ransomware.”

Under tiden, en rådgivande rapport från Cybereason Nocturnus forskarteam förra veckan erbjöd ytterligare information om Black Bastas taktik, tekniker och procedurer. De ansåg att hotet från gruppen var mycket allvarligt, eftersom det har utsatt mer än 50 företag i engelsktalande länder över hela världen sedan april. Forskare sa att företagets kännetecken är dess användning av dubbel utpressning – dvs att stjäla känsliga filer och information och använda den för att utpressa offer genom att hota med publicering av detaljerna om inte en lösensumma betalas. De begärda beloppen är ofta i miljoner.

Den plötsliga uppkomsten av Black Basta har en del spekulerar i att gruppen faktiskt bara är en omgruppering av de två senast upplösta grupperna.

"På grund av deras snabba uppstigning och precisionen i deras attacker, drivs Black Basta sannolikt av tidigare medlemmar i de nedlagda Conti- och REvil-gängen, de två mest lönsamma ransomware-gängen 2021", säger Lior Div, VD för Cybereason.