Em 2022, a Kaspersky detectou mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação a 2021 (61,7 milhões).
Já no início de 2023, assistimos a um ligeiro declínio do número de ataques de ransomware. Porém, estes tornaram-se mais sofisticados e direccionados. Além disso, houve uma mudança drástica entre os grupos de ransomware mais influentes e prolíficos.
Segundo refere, os REvil e Conti, que ocupavam, respectivamente, o 2.º e 3.º lugar em termos de ataques no primeiro trimestre de 2022 foram substituídos, nos primeiros três meses de 2023, pelos Vice Society e BlackCat.
Dois dos outros grupos mais activos actualmente são os Clop e os Royal.
Durante 2022, foram também descobertas modificações de ransomware multiplataforma que atraíram muita atenção dos analistas da Kaspersky. É o caso do Luna e do Black Basta.
Os cibercriminosos tornaram-se ainda mais profissionais, com grupos como o BlackCat a melhorar e a aperfeiçoar as suas técnicas ao longo do ano. A situação geopolítica também está a ser explorada por alguns grupos de ransomware para promover os seus interesses, como o caso do ‘stealer’ Eternity, com os cibercriminosos a criar todo um ecossistema com uma nova variante do ransomware.
Para 2023, os peritos da Kaspersky apresentaram três tendências principais no desenvolvimento de ameaças de ransomware. A primeira refere-se à funcionalidade de auto-propagação ou uma imitação da mesma, com os Black Basta, LockBit e Play entre os exemplos mais significativos de ransomware que se propaga por si próprio.
Outra tendência emergente é a utilização abusiva de controladores para fins maliciosos. Algumas das vulnerabilidades dos controladores AV foram exploradas pelas famílias de ransomware AvosLocker e Cuba, sendo que a análise da Kaspersky mostra que até a indústria de jogos pode ser vítima deste tipo de ataque. Supostamente, o controlador anti-cheat Genshin Impact foi utilizado para eliminar a protecção de endpoint na máquina visada. Uma ameaça que também paira sobre vítimas de elevado perfil, como instituições governamentais em países europeus.
Por último, os especialistas da Kaspersky alertam para o facto de os maiores grupos de ransomware mundiais estarem a adoptar código divulgado ou vendido por outros cibercriminosos para melhorar as funções do malware. Recentemente, o grupo LockBbit adoptou, pelo menos, 25% do código Conti divulgado, e emitiu uma nova versão inteiramente baseada nele. Este tipo de iniciativas proporciona aos afiliados semelhanças e facilidades para trabalharem com famílias de ransomware com as quais já estavam habituados a trabalhar, podendo reforçar as suas capacidades ofensivas, o que deve ser tido em conta na estratégia de defesa das empresas.
