Tendencia Micro, una empresa japonesa de seguridad informática, ha publicado un comparación exhaustiva de comportamientos de dos grandes grupos de ransomware: Conti y LockBit 2.0. Aquí puedes leer un breve resumen de lo que descubrieron..
conti y BloquearBit 2.0 son operadores sobresalientes en cuanto a cuántos objetivos lograron atacar. El periodo analizado es desde noviembre 2019 Marchar 2022. dentro de ese lapso de tiempo, Conti se puso ofensivo 805 empresas mientras LockBit 2.0 Llegó a lo siniestro 666. Estos dos operadores de ransomware son responsables de casi 45% de todos los ataques de extorsión en el mundo dentro del período nombrado. Y eso teniendo en cuenta que LockBit alcanzó su nivel de actividad actual recién en julio. 2021. Teniendo en cuenta la Se acaban los rumores sobre el grupo Conti., BloquearBit 2.0 podría superar a Conti en número de ataques exitosos incluso antes que en agosto 2022, cual fue la evaluación anterior.
Ubicaciones de las empresas víctimas
En cuanto a la ubicación, Las estrategias de las dos bandas muestran diferencias significativas.. A pesar de norteamericana y Europeo occidental empresas lideran por el número de empresas objetivo de ambos grupos de extorsión, ahí es donde terminan las similitudes y comienzan las diferencias. Conti está mucho más centrado en Norteamérica: más de dos tercios de las víctimas de este operador están allí. La segunda posición es para Europa, y el resto, cual es 7%, son todas las demás regiones.
En cuanto a LockBit 2.0, todo es diferente. Tanto Europa Occidental como América del Norte ocupan aproximadamente cuatro sextas partes de los objetivos en la lista de víctimas de LockBit.; Estados Unidos toma una parte más grande, por supuesto. Pero a diferencia del caso Conti, el número restante de víctimas (más que Europa occidental, alrededor 20% del total) se distribuye a favor de Asia y el Pacífico, otra parte considerable va a Sudamérica, y los objetivos restantes están en el Medio Oriente, Europa del Este, y África.
La distribución de objetivos en el caso de LockBit se acerca mucho más a la distribución del producto interior bruto a nivel mundial. Excepto la región asiática. PorcelanaLa economía obviamente domina allí., y el PIB de China es el más alto del mundo. Sin embargo, este país es aparentemente «salvado» por actores de ransomware en cuestión. En la región de Asia y el Pacífico, Conti hace un claro acento en victimizar a los países de habla inglesa: Australia, Nueva Zelanda, Singapur, y la india. Reflexionaremos sobre las razones de ello en las conclusiones de este punto..
Industrias y tamaños de empresas
Las industrias victimizadas son en su mayoría iguales para ambos operadores, y ninguno de los grupos de ransomware ataca intencionalmente ninguna esfera específica. Las industrias más atacadas son las mismas para LockBit y Conti: financiero, ÉL, fabricación, materiales, servicios profesionales, y construcción.
Lo que resulta más curioso es la diferencia entre el tamaño de las empresas atacadas. Conti se concentra en empresas con un número relativamente grande de empleados. Por ejemplo, 237 casos de ataque (el numero mas alto, considerando la selección de tamaños de empresas de Trend Micro) caer en empresas con 51-200 empleados. Máximo de LockBit (222 ataques) está dirigido contra empresas que emplean 11-50 gente. En cuanto a entidades más grandes (201-500 empleados), El botín de Conti aquí es 182 ataques y LockBit – 89. Una de las víctimas de LockBit, según Trend Micro, es una empresa formada por una sola persona.
Conclusiones
El hecho de que Hong Kong es una supuesta ubicación del líder de la pandilla LockBit podría explicar la discreción del grupo al atacar a China. Una investigación oficial podría poner en grave peligro al comandante del grupo, su refugio, y otras operaciones.
En el caso de Conti, Todo es diferente. Este grupo de ransomware declaró su apoyo de rusia en el contexto de la invasión rusa de Ucrania. Por lo tanto, Conti ataca a los oponentes de Rusia, principalmente estados unidos, y evita victimizar a los aliados de Rusia, como China y la mayoría de las ex repúblicas soviéticas.
Podría decirse que la distribución de las víctimas y empresas de LockBit demuestra la solidez del grupo. dice estar fuera de la política y sólo motivado financieramente. Más temprano, BloquearBit 2.0 incluso hizo un rendimiento de los medios prometiendo revelar datos robados a Mandiant, un gigante de la ciberseguridad, en pleno apogeo de la conferencia de ciberseguridad RSA. Lo que precedió a esta broma fue Mandiant. informe sobre la conexión de LockBit con la banda rusa de ransomware Evil Corp, lo cual LockBit negó estrictamente.
