Pada tahun 2024, serangan ransomware global mencapai 5.414, peningkatan 11% dari tahun 2023.
Setelah awal yang lambat, serangan melonjak di Q2 dan melonjak di Q4, dengan 1.827 insiden (33% dari total tahun ini). Tindakan penegakan hukum terhadap kelompok -kelompok besar seperti Lockbit menyebabkan fragmentasi, yang mengarah ke lebih banyak persaingan dan peningkatan geng yang lebih kecil. Jumlah kelompok ransomware aktif melonjak 40%, dari 68 pada 2023 menjadi 95 pada 2024.
Grup ransomware baru untuk ditonton
Pada tahun 2023 hanya ada 27 kelompok baru. 2024 melihat peningkatan dramatis dengan 46 kelompok baru terdeteksi. Seiring tahun berlanjut jumlah kelompok yang dipercepat dengan Q4 2024 yang memiliki 48 kelompok aktif.
Dari 46 kelompok ransomware baru pada tahun 2024, Ransomhub menjadi dominan, melebihi aktivitas Lockbit. Di Cyberint, sekarang perusahaan point check, tim peneliti terus -menerus meneliti kelompok ransomware terbaru dan menganalisisnya untuk dampak potensial. Blog ini akan melihat 3 pemain baru, Ransomhub, Fog dan Lynx yang disebutkan di atas dan memeriksa dampaknya pada tahun 2024 dan mempelajari asal -usul dan TTP mereka.
Untuk mempelajari tentang pemain baru lainnya, unduh laporan 2024 Ransomware di sini.
Ransomhub
Ransomhub telah muncul sebagai kelompok ransomware terkemuka pada tahun 2024, mengklaim 531 serangan di situs kebocoran datanya sejak memulai operasi pada Februari 2024. Mengikuti gangguan FBI terhadap Alphv, Ransomhub dianggap sebagai 'penerus spiritual,' yang berpotensi melibatkan afiliasi sebelumnya.
Beroperasi sebagai ransomware-as-a-service (RAAS), Ransomhub menegakkan perjanjian afiliasi yang ketat, dan Ransomhub menegakkan kepatuhan yang ketat terhadap perjanjian afiliasi, dengan ketidakpatuhan yang mengakibatkan larangan dan penghentian kemitraan. Ini menawarkan split tebusan 90/10, afiliasi/grup inti.
Saat mengklaim komunitas peretas global, Ransomhub menghindari menargetkan negara-negara CIS, Kuba, Korea Utara, Cina, dan nirlaba, menunjukkan karakteristik pengaturan ransomware tradisional Rusia. Penghindaran mereka terhadap negara-negara yang berafiliasi dengan Rusia dan tumpang tindih dengan kelompok ransomware Rusia lainnya di perusahaan yang ditargetkan lebih lanjut menyoroti kemungkinan koneksi mereka ke ekosistem kejahatan dunia maya Rusia.
Temuan Cyberint Agustus 2024 menunjukkan tingkat pembayaran yang rendah: hanya 11,2% dari korban yang dibayarkan (20 dari 190), dengan negosiasi sering mengurangi tuntutan. Ransomhub memprioritaskan volume serangan daripada tingkat pembayaran, memanfaatkan ekspansi afiliasi untuk memastikan profitabilitas, dengan tujuan menghasilkan pendapatan substansial dari waktu ke waktu meskipun keberhasilan pembayaran individu yang rendah.
Malware, Toolset & TTPS
Ransomware Ransomhub, dikembangkan di Golang dan C ++, menargetkan Windows, Linux, dan ESXI, dibedakan dengan enkripsi cepat. Kesamaan dengan ransomware Ghostsec menyarankan tren.
Ransomhub menjamin dekripsi gratis jika afiliasi gagal menyediakannya pasca pembayaran atau organisasi yang dilarang target. Ransomware mereka mengenkripsi data sebelum eksfiltrasi. Tingkat potensial dengan Alphv disarankan oleh pola serangan, menunjukkan alat serupa dan TTP dapat digunakan.
Sophos Research menyoroti paralel dengan knight ransomware, termasuk muatan go-language yang dikalahkan dengan menu baris perintah goobfuscate dan identik.
Ransomware kabut
Fog Ransomware muncul pada awal April 2024, menargetkan jaringan pendidikan AS dengan mengeksploitasi kredensial VPN curian. Mereka menggunakan strategi ekstorsi ganda, menerbitkan data di situs kebocoran berbasis TOR jika korban tidak membayar.
Pada tahun 2024, mereka menyerang 87 organisasi secara global. Laporan serigala Arktik dari November 2024 menunjukkan kabut yang diprakarsai setidaknya 30 intrusi, semuanya melalui akun VPN SonicWall yang dikompromikan. Khususnya, 75% dari intrusi ini terkait dengan Akira, dengan sisanya dikaitkan dengan kabut, menunjukkan infrastruktur dan kolaborasi bersama.
FOG terutama menargetkan pendidikan, layanan bisnis, perjalanan, dan manufaktur, dengan fokus pada AS yang menarik, FOG adalah salah satu dari sedikit kelompok ransomware yang memprioritaskan sektor pendidikan sebagai target utama mereka.
Fog ransomware telah menunjukkan kecepatan yang mengkhawatirkan, dengan waktu yang diamati terpendek dari akses awal ke enkripsi hanya dua jam. Serangannya mengikuti rantai pembunuhan ransomware yang khas, mencakup enumerasi jaringan, gerakan lateral, enkripsi, dan exfiltrasi data. Versi ransomware ada untuk platform Windows dan Linux.
IOCS
| Jenis | Nilai | Tanggal pengamatan terakhir |
| IPv4-Addr | 107.161.50.26 | 28 Nov 2024 |
| Sha-1 | 507B26054319FF31F275BA44DDC9D2B5037BD295 | 28 Nov 2024 |
| Sha-1 | E1FB7D15408988DF39A80B8939972F7843F0E785 | 28 Nov 2024 |
| Sha-1 | 83F00AF43DF650FDA2C5B4A04A7B31790A8AD4CF | 28 Nov 2024 |
| Sha-1 | 44A76B9546427627A8D88A650C1BED3F1CC0278C | 28 Nov 2024 |
| Sha-1 | eeafa71946e81d8fe5ebf6be53e83a84dccA50ba | 28 Nov 2024 |
| Sha-1 | 763499B37AACD317E7D2F512872F9ED719AACAE1 | 28 Nov 2024 |
| Sha-1 | 3477A173E2C1005A81D042802AB0F22CC12A4D55 | 02 Feb 2025 |
| Sha-1 | 90be89524b72f330e49017a11e7b8a257f975e9a | 28 Nov 2024 |
| Nama domain | GFS302N515.USERSTORAGE.MEGA.CO.NZ | 28 Nov 2024 |
| SHA-256 | E67260804526323484F564EEB6C99ED021B960B899FF788AED85BB7A9D75C3 | 20 Agustus 2024 |
Lynx
Lynx adalah grup ransomware ekstorsi ganda yang sangat aktif akhir-akhir ini, menampilkan banyak perusahaan korban di situs web mereka. Mereka menyatakan bahwa mereka menghindari menargetkan organisasi pemerintah, rumah sakit, kelompok nirlaba, dan sektor sosial penting lainnya.
Setelah mereka mendapatkan akses ke suatu sistem, Lynx mengenkripsi file, menambahkan ekstensi “.lynx”. Mereka kemudian menempatkan uang tebusan bernama “readme.txt” di beberapa direktori. Pada tahun 2024 saja, Lynx mengklaim lebih dari 70 korban, menunjukkan aktivitas mereka yang berkelanjutan dan kehadiran yang signifikan dalam lanskap ransomware.
IOCS
| Jenis | Nilai | Tanggal pengamatan terakhir |
| Md5 | E488D51793FEC752A64B0834DEFB9D1D | 08 Sep 2024 |
| Nama domain | lynxback.pro | 08 Sep 2024 |
| Nama domain | lynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoeohyd.onion | 08 Sep 2024 |
| Nama domain | lynxblog.net | 08 Sep 2024 |
| IPv4-Addr | 185.68.93.122 | 08 Sep 2024 |
| IPv4-Addr | 185.68.93.233 | 08 Sep 2024 |
| Md5 | 7E851829EE37BC0CF65A268D1D1BAA7A | 17 Feb 2025 |
Apa yang akan datang pada tahun 2025?
Karena tindakan keras pada grup ransomware, kelompok paling baru dalam catatan telah muncul, berusaha membuat nama untuk diri mereka sendiri. Pada tahun 2025, Cyberint mengantisipasi beberapa kelompok yang lebih baru ini untuk meningkatkan kemampuan mereka dan muncul sebagai pemain dominan, bukan hanya Ransomhub.
Baca Cyberint, sekarang laporan ransomware 2024 Cek Cek 2024 untuk industri dan negara yang ditargetkan teratas, rincian dari 3 kelompok ransomware teratas, keluarga ransomware yang patut dicatat, pendatang baru untuk industri, penangkapan dan berita, dan perkiraan 2025.
Baca laporan Ransomware 2024 untuk mendapatkan wawasan terperinci dan banyak lagi.
