Ransomware-ul este un vector de amenințare semnificativ, care costă companiile, corporațiile și operatorii de infrastructură miliarde de dolari anual. În spatele acestor amenințări se află bande profesionale de ransomware care creează și distribuie malware care face posibile atacurile.
Unele dintre aceste grupuri atacă victimele în mod direct, în timp ce altele rulează popularul model Ransomware-as-a-Service (RaaS) care le permite afiliaților să stoarce anumite organizații.
Cu amenințarea ransomware în creștere constantă, cunoașterea inamicului și a modului în care acţionează este singura modalitate de a rămâne în frunte. Așadar, iată o listă cu primele cinci grupuri de ransomware cele mai periculoase care perturbă peisajul securității cibernetice.
1. REvil
Grupul de ransomware REvil, a.k.a. Sodinokibi, are sediul în Rusia ransomware-as-a-service (RaaS) operațiune care a apărut pentru prima dată în aprilie 2019. Este considerat unul dintre cele mai nemiloase grupuri de ransomware cu legături către Agenția Federală a Serviciului Rus (FSB).
Grupul a atras rapid atenția profesioniștilor în securitate cibernetică pentru priceperea sa tehnică și îndrăzneala de a merge după ținte de profil înalt. 2021 a fost cel mai profitabil an pentru grup, deoarece a vizat mai multe întreprinderi multinaționale și a perturbat mai multe industrii.
Victime majore
În martie 2021, REvil a atacat corporația de electronice și hardware Acer și și-a compromis serverele. Atacatorii au cerut 50 de milioane de dolari pentru o cheie de decriptare și au amenințat că vor crește răscumpărarea la 100 de milioane de dolari dacă compania nu a îndeplinit cerințele grupului.
O lună mai târziu, grupul a efectuat un alt atac de mare profil împotriva furnizorului Apple, Quanta Computers. A încercat să șantajeze atât Quanta, cât și Apple, dar niciuna dintre companii nu a plătit răscumpărarea cerută de 50 de milioane de dolari.
Grupul de ransomware REvil și-a continuat pirateria și a vizat JBS Foods, Invenergy, Kaseya și alte câteva companii. JBS Foods a fost nevoită să-și închidă temporar operațiunile și a plătit o răscumpărare estimată la 11 milioane de dolari în Bitcoin pentru a relua operațiunile.
The Atacul Kaseya a adus o atenție nedorită grupului, deoarece a afectat în mod direct peste 1.500 de afaceri din întreaga lume. În urma unor presiuni diplomatice, autoritățile ruse au arestat mai mulți membri ai grupului în ianuarie 2022 și au confiscat bunuri în valoare de milioane de dolari. Dar această întrerupere a fost de scurtă durată, deoarece Banda de ransomware REvil a fost din nou în funcțiune din aprilie 2022.
2. Conti
Conti este o altă bandă de ransomware infamă care face titluri de la sfârșitul anului 2018. Acesta folosește metoda dublei extorcări, ceea ce înseamnă că grupul reține cheia de decriptare și amenință că va scurge date sensibile dacă răscumpărarea nu este plătită. Are chiar și un site cu scurgeri de informații, Conti News, pentru a publica datele furate.
Ceea ce îl face pe Conti diferit de alte grupuri de ransomware este lipsa limitărilor etice asupra țintelor sale. A condus mai multe atacuri în sectorul educației și asistenței medicale și a cerut răscumpărare de milioane de dolari.
Victime majore
Grupul de ransomware Conti are o lungă istorie de a viza infrastructuri publice critice, cum ar fi asistența medicală, energia, IT și agricultura. În decembrie 2021, grupul a raportat că a compromis banca centrală a Indoneziei și a furat date sensibile în valoare de 13,88 GB.
În februarie 2022, Conti a atacat un operator internațional de terminale, SEA-invest. Compania operează 24 de porturi maritime în Europa și Africa și este specializată în manipularea vrac uscat, fructe și alimente, vrac lichid (petrol și gaz) și containere. Atacul a afectat toate cele 24 de porturi și a provocat întreruperi semnificative.
Conti a compromis și școlile publice din județul Broward în aprilie și a cerut o răscumpărare de 40 de milioane de dolari. Grupul a scurs documente furate pe blogul său, după ce districtul a refuzat să plătească răscumpărarea.
Mai recent, președintele Costa Rica a fost nevoit să declare stare de urgență națională în urma atacurilor lui Conti asupra mai multor agenții guvernamentale.
3. Partea Întunecată
Grupul de ransomware DarkSide urmează modelul RaaS și vizează marile companii pentru a extorca sume mari de bani. Face acest lucru obținând acces la rețeaua unei companii, de obicei prin phishing sau forță brută, și criptează toate fișierele din rețea.
Există mai multe teorii cu privire la originile grupului de ransomware DarkSide. Unii analiști cred că are sediul în Europa de Est, undeva în Ucraina sau Rusia. Alții cred că grupul are francize în mai multe țări, inclusiv Iran și Polonia.
Victime majore
Grupul DarkSide face cereri uriașe de răscumpărare, dar pretinde că are un cod de conduită. Grupul susține că nu vizează niciodată școli, spitale, instituții guvernamentale și orice infrastructură care afectează publicul.
Cu toate acestea, în mai 2021, DarkSide a efectuat Atacul Colonial Pipeline și a cerut 5 milioane de dolari răscumpărare. A fost cel mai mare atac cibernetic asupra infrastructurii petroliere din istoria SUA și a perturbat aprovizionarea cu benzină și combustibil pentru avioane în 17 state.
Incidentul a stârnit conversații despre securitatea infrastructurii critice și despre modul în care guvernele și companiile trebuie să fie mai diligente în ceea ce privește protecția acestora.
În urma atacului, grupul DarkSide a încercat să-și curețe numele dând vina pe afiliați terți pentru atac. Cu toate acestea, conform The Washington Post, grupul a decis să-și închidă operațiunile după creșterea presiunii din partea Statelor Unite.
4. DoppelPaymer
Ransomware-ul DoppelPaymer este un succesor al ransomware-ului BitPaymer, care a apărut pentru prima dată în aprilie 2019. Folosește metoda neobișnuită de a chema victime și de a cere o răscumpărare în bitcoins.
DoppelPaymer susține că are sediul în Coreea de Nord și urmează modelul ransomware cu dublă extorcare. Activitatea grupului a scăzut la câteva săptămâni după atacul Colonial Pipeline, dar analiştii cred că s-a redenumit grupul Grief.
Victime majore
DopplePaymer vizează frecvent companiile petroliere, producătorii de automobile și industriile critice, cum ar fi asistența medicală, educația și serviciile de urgență. Este primul ransomware care a provocat moartea unui pacient în Germania, după ce personalul serviciului de urgență nu a putut comunica cu spitalul.
Grupul a făcut titluri când a publicat informații despre alegătorii din Hall County, Georgia. Anul trecut, a compromis și sistemele Kia Motors America orientate către clienți și a furat date sensibile. Grupul a cerut 404 bitcoini drept răscumpărare, aproximativ echivalentul a 20 de milioane de dolari pe atunci.
5. LockBit
LockBit a fost în ultima vreme una dintre cele mai proeminente bande de ransomware, datorită declinului altor grupuri. De la prima sa apariție în 2019, LockBit a cunoscut o creștere fără precedent și și-a evoluat semnificativ tactica.
LockBit a început inițial ca o bandă de profil redus, dar a câștigat popularitate odată cu lansarea LockBit 2.0 la sfârșitul anului 2021. Grupul urmează modelul RaaS și folosește tactica dublă de extorcare pentru a șantaja victimele.
Victime majore
LockBit este în prezent un grup de ransomware cu impact, reprezentând peste 40% din toate atacurile ransomware din mai 2022. Atacă organizații din SUA, China, India și Europa.
La începutul acestui an, LockBit a vizat Thales Group, o multinațională franceză de electronice, și a amenințat că va scurge date sensibile dacă compania nu a îndeplinit cerințele grupului de răscumpărare.
De asemenea, a compromis Ministerul francez al Justiției și le-a criptat fișierele. Grupul susține acum că a încălcat agenția fiscală italiană (L'Agenzia delle Entrate) și au furat 100 GB de date.
Protejarea împotriva atacurilor ransomware
Ransomware-ul continuă să fie o industrie înfloritoare de pe piața neagră, generând venituri de miliarde de dolari pentru aceste bande notorii în fiecare an. Având în vedere beneficiile financiare și disponibilitatea din ce în ce mai mare a modelului RaaS, amenințările vor crește.
Ca și în cazul oricărui malware, a fi vigilent și a folosi software-ul de securitate adecvat reprezintă pași în direcția corectă pentru a combate ransomware-ul. Dacă încă nu sunteți pregătit să investiți într-un instrument de securitate premium, puteți utiliza instrumentele de protecție împotriva ransomware-ului încorporate din Windows pentru a vă menține computerul în siguranță.