Según el análisis de NCC Group, Lockbit se consolidó como el proveedor más activo de ransomware-as-a-service en julio, respaldado por datos recientes. Los investigadores rastrearon los niveles de actividad examinando sitios de fuga e información sobre las víctimas liberadas durante el mes. Este aumento marca un retorno a campañas de alta frecuencia por parte de proveedores establecidos tras una caída previa.
Lockbit ejecutó 62 ataques en julio, superando el total combinado de los dos siguientes grupos. Hiveleaks registró 27 incidentes, mientras que BlackBasta alcanzó 24. Estos grupos secundarios mostraron una expansión rápida, con Hiveleaks incrementando en un 440 por ciento y BlackBasta en un 50 por ciento respecto a junio.
La aparición de estos grupos secundarios siguió a la oferta de 15 millones de dólares del gobierno estadounidense para inteligencia sobre el grupo de amenazas Conti en mayo. Analistas sostienen que los operadores de Conti se reorganizaron bajo nuevas identidades, reintroduciendo variantes en el ecosistema de amenazas.
Las campañas de ransomware exitosas totales sumaron 198 en julio, representando un aumento del 47 por ciento con respecto a junio. A pesar de este crecimiento, las cifras permanecen por debajo del pico primaveral de casi 300 campañas. Los expertos anticipan posibles fluctuaciones a medida que estos grupos consolidan sus nuevas estructuras operacionales.