Ransomware to znaczący wektor zagrożeń, który kosztuje firmy, korporacje i operatorów infrastruktury miliardy dolarów rocznie. Za tymi zagrożeniami kryją się profesjonalne gangi ransomware tworzące i dystrybuujące złośliwe oprogramowanie, które umożliwia ataki.
Niektóre z tych grup atakują ofiary bezpośrednio, podczas gdy inne korzystają z popularnego modelu Ransomware-as-a-Service (RaaS), który umożliwia partnerom wyłudzanie określonych organizacji.
Ponieważ zagrożenie ransomware stale rośnie, znajomość wroga i sposobu jego działania to jedyny sposób, aby pozostać na czele. Oto lista pięciu najbardziej zabójczych grup oprogramowania ransomware, które zakłócają krajobraz cyberbezpieczeństwa.
1. Zło
Grupa ransomware REvil, znana również jako Sodinokibi, ma siedzibę w Rosji ransomware jako usługa (RaaS) operacja, która po raz pierwszy pojawiła się w kwietniu 2019 r. Jest uważana za jedną z najbardziej bezwzględnych grup oprogramowania ransomware z powiązaniami z Rosyjską Agencją Służb Federalnych (FSB).
Grupa szybko przyciągnęła uwagę specjalistów ds. cyberbezpieczeństwa dzięki swoim umiejętnościom technicznym i śmiałości do ścigania głośnych celów. Rok 2021 był najbardziej dochodowym rokiem dla grupy, ponieważ był skierowany do wielu międzynarodowych przedsiębiorstw i zakłócił kilka branż.
Główne ofiary
W marcu 2021 r. REvil zaatakował koncern elektroniki i sprzętu Acer i skompromitował swoje serwery. Osoby atakujące zażądały 50 milionów dolarów za klucz deszyfrujący i zagroziły zwiększeniem okupu do 100 milionów dolarów, jeśli firma nie spełni żądań grupy.
Miesiąc później grupa przeprowadziła kolejny głośny atak na dostawcę Apple, firmę Quanta Computers. Próbowała szantażować zarówno Quantę, jak i Apple, ale żadna z firm nie zapłaciła żądanego okupu w wysokości 50 milionów dolarów.
Grupa REvil zajmująca się oprogramowaniem ransomware kontynuowała swój szał hakerski i zaatakowała JBS Foods, Invenergy, Kaseya i kilka innych firm. JBS Foods został zmuszony do tymczasowego zamknięcia swojej działalności i zapłacił szacunkowo 11 milionów dolarów okupu w Bitcoin, aby wznowić działalność.
The Atak Kasyi przyciągnęła niechcianą uwagę do grupy, ponieważ bezpośrednio dotknęła ponad 1500 firm na całym świecie. Pod wpływem nacisków dyplomatycznych władze rosyjskie aresztowały kilku członków grupy w styczniu 2022 r. i przejęły majątek o wartości milionów dolarów. Ale to zakłócenie było krótkotrwałe, ponieważ Gang oprogramowania ransomware REvil znów działa od kwietnia 2022 r.
2. Kontynuuj
Conti to kolejny niesławny gang zajmujący się oprogramowaniem ransomware, który pojawia się na pierwszych stronach gazet od końca 2018 roku. Wykorzystuje metoda podwójnego wymuszenia, co oznacza, że grupa zatrzymuje klucz deszyfrujący i grozi wyciekiem poufnych danych, jeśli okup nie zostanie zapłacony. Prowadzi nawet witrynę przecieków, Conti News, aby opublikować skradzione dane.
Tym, co odróżnia Conti od innych grup oprogramowania ransomware, jest brak etycznych ograniczeń dotyczących jego celów. Przeprowadził kilka ataków w sektorach edukacji i opieki zdrowotnej i zażądał okupu w wysokości milionów dolarów.
Główne ofiary
Grupa Conti ransomware ma długą historię atakowania krytycznej infrastruktury publicznej, takiej jak opieka zdrowotna, energia, IT i rolnictwo. W grudniu 2021 r. grupa poinformowała, że włamała się do banku centralnego Indonezji i ukradła wrażliwe dane o łącznej pojemności 13,88 GB.
W lutym 2022 roku Conti zaatakował międzynarodowego operatora terminali SEA-invest. Firma obsługuje 24 porty morskie w Europie i Afryce i specjalizuje się w przeładunku towarów masowych suchych, owoców i żywności, masowych płynnych (ropa i gaz) oraz kontenerów. Atak dotknął wszystkie 24 porty i spowodował znaczne zakłócenia.
Conti skompromitował także szkoły publiczne hrabstwa Broward w kwietniu i zażądał okupu w wysokości 40 milionów dolarów. Grupa ujawniła skradzione dokumenty na swoim blogu po tym, jak dzielnica odmówiła zapłaty okupu.
Niedawno prezydent Kostaryki musiał ogłosić stan wyjątkowy po atakach Conti na kilka agencji rządowych.
3. Ciemna strona
Grupa zajmująca się oprogramowaniem ransomware DarkSide podąża za modelem RaaS i celuje w duże firmy, aby wyłudzić duże kwoty pieniędzy. Czyni to poprzez uzyskanie dostępu do sieci firmowej, zwykle poprzez phishing lub brute force, i szyfruje wszystkie pliki w sieci.
Istnieje kilka teorii dotyczących pochodzenia grupy ransomware DarkSide. Niektórzy analitycy uważają, że ma siedzibę w Europie Wschodniej, gdzieś na Ukrainie lub w Rosji. Inni uważają, że grupa ma franczyzy w wielu krajach, w tym w Iranie i Polsce.
Główne ofiary
Grupa DarkSide żąda ogromnego okupu, ale twierdzi, że ma kodeks postępowania. Grupa twierdzi, że nigdy nie atakuje szkół, szpitali, instytucji rządowych ani żadnej infrastruktury, która ma wpływ na społeczeństwo.
Jednak w maju 2021 roku DarkSide przeprowadziło Atak Colonial Pipeline i zażądał okupu w wysokości 5 milionów dolarów. Był to największy cyberatak na infrastrukturę naftową w historii USA i zakłócił dostawy benzyny i paliwa do silników odrzutowych w 17 stanach.
Incydent wywołał dyskusje na temat bezpieczeństwa infrastruktury krytycznej oraz tego, jak rządy i firmy muszą bardziej starannie je chronić.
Po ataku grupa DarkSide próbowała oczyścić swoją nazwę, obwiniając za atak podmioty powiązane z osobami trzecimi. Jednak według Washington Post, grupa zdecydowała się zamknąć swoją działalność pod wpływem rosnącej presji ze strony Stanów Zjednoczonych.
4. DoppelPaymer
Ransomware DoppelPaymer jest następcą oprogramowania ransomware BitPaymer, które pojawiło się po raz pierwszy w kwietniu 2019 roku. Wykorzystuje niezwykłą metodę dzwonienia do ofiar i żądania okupu w bitcoinach.
DoppelPaymer twierdzi, że ma siedzibę w Korei Północnej i stosuje model podwójnego wymuszenia ransomware. Aktywność grupy spadła kilka tygodni po ataku Colonial Pipeline, ale analitycy uważają, że zmieniła nazwę na grupę Grief.
Główne ofiary
DopplePaymer często jest skierowany do firm naftowych, producentów samochodów i krytycznych branż, takich jak opieka zdrowotna, edukacja i służby ratownicze. Jest to pierwsze oprogramowanie ransomware, które spowodowało śmierć pacjenta w Niemczech po tym, jak personel pogotowia nie mógł skomunikować się ze szpitalem.
Grupa trafiła na nagłówki gazet, gdy opublikowała informacje o wyborcach z hrabstwa Hall w stanie Georgia. W zeszłym roku naraził również systemy Kia Motors America, z którymi kontaktowali się klienci, i wykradł poufne dane. Grupa zażądała okupu w wysokości 404 bitcoinów, co odpowiadało wówczas około 20 milionom dolarów.
5. Bit blokady
LockBit jest ostatnio jednym z najbardziej znanych gangów ransomware, dzięki upadkowi innych grup. Od czasu swojego pierwszego pojawienia się w 2019 roku LockBit odnotował bezprecedensowy wzrost i znacznie rozwinął swoją taktykę.
LockBit początkowo był gangiem o niskim profilu, ale zyskał popularność wraz z wprowadzeniem LockBit 2.0 pod koniec 2021 roku. Grupa podąża za modelem RaaS i stosuje taktykę podwójnego wymuszenia, aby szantażować ofiary.
Główne ofiary
LockBit jest obecnie wpływową grupą oprogramowania ransomware, która odpowiadała za ponad 40 procent wszystkich ataków ransomware w maju 2022 roku. Atakuje organizacje w USA, Chinach, Indiach i Europie.
Na początku tego roku LockBit zaatakował Thales Group, francuską międzynarodową firmę elektroniczną, i zagroził wyciekiem wrażliwych danych, jeśli firma nie spełni żądań okupu.
Skompromitował również francuskie Ministerstwo Sprawiedliwości i zaszyfrował ich pliki. Grupa twierdzi teraz, że naruszyła włoską agencję podatkową (L'Agenzia delle Entrate) i ukradł 100 GB danych.
Ochrona przed atakami ransomware
Ransomware nadal jest dobrze prosperującym przemysłem na czarnym rynku, generującym miliardy dolarów przychodów dla tych znanych gangów każdego roku. Biorąc pod uwagę korzyści finansowe i coraz większą dostępność modelu RaaS, zagrożenia będą tylko rosły.
Podobnie jak w przypadku każdego złośliwego oprogramowania, zachowanie czujności i używanie odpowiedniego oprogramowania zabezpieczającego to kroki we właściwym kierunku w walce z oprogramowaniem ransomware. Jeśli nie jesteś jeszcze gotowy, aby zainwestować w wysokiej jakości narzędzie zabezpieczające, możesz użyć wbudowanych narzędzi ochrony przed ransomware w systemie Windows, aby zapewnić bezpieczeństwo swojego komputera.
