Tendência Micro, uma empresa japonesa de segurança de TI, publicou um comparação completa de comportamentos de dois grandes grupos de ransomware: Conti e LockBit 2.0. Aqui você pode ler um breve resumo do que eles descobriram.
Conti e Bloqueio 2.0 são operadores excelentes em relação a quantos alvos conseguiram atacar. O período analisado é de novembro 2019 para Março 2022. Dentro desse intervalo de tempo, Conti foi ofensivo em 805 empresas enquanto LockBit 2.0 alcançou o sinistro 666. Esses dois operadores de ransomware são responsáveis por quase 45% de todos os ataques de extorsão em todo o mundo dentro do período nomeado. E isso considerando que o LockBit atingiu seu nível de atividade atual apenas em julho 2021. Levando em consideração rumores sobre o fim do grupo Conti, Bloqueio 2.0 pode vencer Conti em número de ataques bem-sucedidos ainda mais cedo do que em agosto 2022, qual foi a avaliação anterior.
Localização das empresas vítimas
Em termos de localização, as estratégias das duas gangues mostram diferenças significativas. Embora norte-americano e Europeu ocidental empresas lideram em número de empresas visadas por ambos os grupos de extorsão, é aí que as semelhanças terminam e as diferenças começam. Conti está muito mais focado na América do Norte: mais de dois terços das vítimas deste operador estão lá. A segunda posição vai para a Europa, e o resto, qual é 7%, são todas as outras regiões.
Quanto ao LockBit 2.0, tudo é diferente. Tanto a Europa Ocidental como a América do Norte ocupam cerca de quatro sextos dos alvos na lista de vítimas do LockBit; A América ocupa um papel maior, claro. Mas ao contrário do caso Conti, o número restante de vítimas (mais do que a Europa Ocidental, em volta 20% do total) é distribuído em favor da Ásia e do Pacífico, outra parte considerável vai para a América do Sul, e os restantes alvos estão no Médio Oriente, Europa Oriental, e África.
A distribuição de metas no caso do LockBit está muito mais próxima da distribuição do produto interno bruto mundial. Exceto para a região asiática. Chinaa economia do país obviamente domina lá, e o PIB da China é o mais alto do mundo. No entanto, este país é aparentemente “poupado” pelos atores de ransomware em questão. Na região da Ásia e Pacífico, Conti enfatiza claramente a vitimização dos países de língua inglesa: Austrália, Nova Zelândia, Cingapura, e Índia. Refletiremos sobre as razões para isso nas conclusões deste item.
Indústrias e tamanhos de empresas
As indústrias vitimadas são basicamente as mesmas para ambas as operadoras, e nenhuma esfera específica é alvo propositalmente de qualquer grupo de ransomware. As indústrias mais atacadas são as mesmas para LockBit e Conti: financeiro, ISTO, fabricação, materiais, serviços profissionais, e construção.
O que é mais curioso é a diferença entre o tamanho das empresas atacadas. Conti concentra-se em empresas com um número relativamente grande de funcionários. Por exemplo, 237 casos de ataque (o número mais alto, considerando a seleção de tamanhos de empresas da Trend Micro) enquadram-se em empresas com 51-200 funcionários. Máximo do LockBit (222 ataques) é dirigido contra empresas que empregam 11-50 pessoas. Quanto a entidades maiores (201-500 funcionários), O resultado de Conti aqui é 182 ataques e LockBit – 89. Uma das vítimas do LockBit, de acordo com a Trend Micro, é uma empresa composta por uma pessoa.
Conclusões
O fato de que Hong Kong é uma suposta localização do líder da gangue LockBit pode explicar a discrição do grupo em atacar a China. Uma investigação oficial pode colocar gravemente em risco o comandante do grupo, seu refúgio, e outras operações.
No caso de Conti, tudo é diferente. Este grupo de ransomware declarou seu apoio da Rússia no contexto da invasão da Ucrânia pela Rússia. Portanto, Conti ataca adversários da Rússia, principalmente os EUA, e evita vitimar os aliados da Rússia, como a China e a maioria das ex-repúblicas soviéticas.
A distribuição das vítimas e empresas do LockBit prova indiscutivelmente a afirma estar fora da política e apenas motivado financeiramente. Mais cedo, Bloqueio 2.0 até fez um desempenho de mídia prometendo divulgar dados roubados da Mandiant, um gigante da segurança cibernética, no auge da conferência de segurança cibernética da RSA. O que precedeu essa pegadinha foi Mandiant relatório sobre a conexão do LockBit com a gangue russa de ransomware Evil Corp, que LockBit negou estritamente.