Najniebezpieczniejsze grupy ransomware w 2023 roku

Ransomware może zniszczyć firmę w ciągu kilku sekund, utrudniając dostęp do danych, ograniczając zyski i niszcząc starannie wypracowaną reputację. To obecnie jedno z największych zagrożeń w cyberprzestrzeni, które w zeszłym roku urosło o około 4%. Poniżej ujawniamy najniebezpieczniejsze organizacje przestępcze atakujące z pomocą ransomware.

Z danych przygotowanych przez Check Point Research wynika, że w 2023 r. co tydzień średnio 1 na 34 organizacje na całym świecie doświadczyła próby ataku ransomware, co stanowi wzrost o 4% w porównaniu z tym samym okresem ubiegłego roku. W wielu przypadkach kampanie hakerskie prowadziły te same grupy ransomware, które nieustannie tworzą, dostarczają i atakują niezwykle groźnym dla biznesu oprogramowaniem.

1. Lockbit3. Spośród wszystkich aktywnych grup ransomware, w okresie od stycznia do czerwca 2023 r., Lockbit3 okazał się najbardziej płodny. Działania Lockbit3 były przyczyną 24% wszystkich zgłoszonych incydentów. Grupa próbowała zakłócać działalność organizacji i publicznie wymuszać wymuszenia w ponad 500 różnych przypadkach, co oznacza wzrost liczby ofiar o 20% w porównaniu z pierwszą połową 2022 r. LockBit wykorzystuje model oprogramowania ransomware jako usługi i zazwyczaj atakuje duże przedsiębiorstwa oraz jednostki rządowe. LockBit atakuje na całym świecie, z wyjątkiem Rosji i innych krajów Wspólnoty Niepodległych Państw. Zalecana lista środków zaradczych jest rozległa. Organizacja może zacząć od wdrożenia przeglądarek w trybie piaskownicy, wymagania od kont zgodności ze standardami zarządzania hasłami i zasadami NIST oraz wdrożenia filtrów poczty e-mail.
2. Clop Ransomware. Clop to w tym roku jedna z najbardziej aktywnych grup zajmujących się ransomware, która przeprowadziła ponad 100 ataków w ciągu pierwszych pięciu miesięcy roku. Chociaż działania Clop są sierowane do organizacji z różnych branż – od międzynarodowych koncernów naftowych po organizacje opieki zdrowotnej – wydaje się, że najchętniej celuje w organizacje o przychodach przekraczających 5 milionów dolarów. Uważa się, że do tej pory Clop wyłudził od przedsiębiorstw łącznie ponad 500 milionów dolarów okupu. Po rzekomym wykorzystaniu przez Clopa luki zero-day w aplikacji MOVEit Transfer wiosną ubiegłego roku, w ramach programu Rewards for Justice Departamentu Stanu USA ogłosił nagrody w wysokości do 10 milionów dolarów za informacje umożliwiające powiązanie Clopa z zagranicznymi rządami.
3. MalasLocker. Grupa ta pojawiła się po raz pierwszy w kwietniu 2023 r. W swoim stosunkowo krótkim istnieniu wyrządziła wiele szkód, atakując ponad 170 ofiar. Około 30% wspomnianych ofiar to podmioty rosyjskie, co jest wysoce nietypowe, ponieważ zwykle grupy ransomware unikają ataków na cele byłego Związku Radzieckiego. Grupa atakuje głównie użytkowników Zimbry, narzędzia do współpracy online przeznaczonego dla pracowników organizacji. Znana jest ze swoich pozornie antykapitalistycznych haseł, żądając od ofiar przekazywania „datków na cele charytatywne” na rzecz wybranej przez ofiarę organizacji non-profit. Grupa zaczęła od atakowania mniejszych organizacji, jednak w miarę upływu czasu może próbować siać spustoszenie w większych organizacjach.
4. ALPHV (BlackCat). Ten gang ransomware znany jest ze swoich kreatywnych i „szalonych” pomysłów. Na przykład użycie języka programowania rust, który sprawia, że rozwikłanie ataków ransomware jest znacznie bardziej skomplikowane niż poprzednio. W tym roku ALPHV, znanay również jako BlackCat, dokonał kilku znaczących naruszeń. Grupa przypisuje sobie ataki na systemy bezpieczeństwa lotnisk, rafinerii ropy naftowej i innych dostawców infrastruktury krytycznej. Zaangażowani cyberprzestępcy są albo luźno powiązani z grupą Darkside, albo mogli zainicjować rebranding gangu Darkside. Warto również zauważyć, że hakerzy BlackCat mogli wcześniej współpracować z kartelem REvil . Lista zalecanych środków zaradczych jest obszerna. Obejmują sprawdzanie kontrolerów domeny, serwerów, stacji roboczych i katalogów aktywnych pod kątem nowych lub nierozpoznanych kont użytkowników, tworzenie kopii zapasowych danych, przeglądanie harmonogramu zadań pod kątem nierozpoznanych zaplanowanych zadań oraz przeglądanie dzienników antywirusowych pod kątem wszelkich oznak manipulacji .
5. Bianlian. Począwszy od czerwca 2022 r., ta grupa zajmująca się tworzeniem, wdrażaniem i wyłudzaniem danych przez ransomware, atakując organizacje z różnych sektorów infrastruktury w USA. Grupa naraziła także australijską infrastrukturę, usługi profesjonalne i organizacje deweloperskie. Bianlian próbuje uzyskać dostęp do systemu za pomocą poświadczeń protokołu Remote Desktop Protocol (RDP), narzędzi open source i skryptów wiersza poleceń (w celu wykrywania i zbierania poświadczeń). Następnie grupa eksfiltruje dane ofiar za pośrednictwem protokołu FTP, Rclone lub Mega. Po zakończeniu żąda zapłaty, grożąc, że w przypadku braku płatności umieści prywatne dane w Internecie. Aby złagodzić zagrożenia ze strony Bianlian, CISA zaleca, aby organizacje ściśle ograniczały korzystanie z protokołu RDP i innych usług pulpitu zdalnego, wyłączały działania i uprawnienia wiersza poleceń i skryptów, a także ograniczały użycie programu PowerShell i aktualizowały system Windows lub PowerShell lub PowerShell Core do najnowszych wersji.
6. Royal. Celem tej grupy były różne sektory infrastruktury krytycznej, w tym sektor produkcyjny, edukacja, komunikacja i zdrowie publiczne. Grupa ransomware Royal zazwyczaj wyłącza oprogramowanie antywirusowe i wydobywa duże ilości danych. Następnie napastnicy wdrażają oprogramowanie ransomware i szyfrują systemy. W przeszłości przestępcy z grupy Royal żądali okupu w wysokości od około 1 miliona dolarów do 11 milionów dolarów. Aby chronić się przed Royal, działy bezpieczeństwa powinny przechowywać wiele kopii danych wrażliwych podzielonych na segmenty w bezpiecznych lokalizacjach. Ponadto wymaga się, aby wszystkie konta były prowadzone zgodne z najlepszymi praktykami w zakresie zarządzania hasłami, wprowadzania uwierzytelniania wieloskładnikowego, stosownych poprawek do systemów (oraz oprogramowania i oprogramowania sprzętowego), a także segmentację sieci.
7. Play. Ta grupa ransomware, która pojawiła się w czerwcu 2022 r. Jej nazwa wzięła się od rozszerzenia pliku „.play” dodanego po zaszyfrowaniu plików ofiar oraz składającej się z jednego słowa „PLAY” notatki z żądaniem okupu, która była pokazywana ofiarom. Grupa wykorzystuje niestandardowe narzędzia. Uważa się, że takie podejście skraca czas obecności w infrastrukturze ofiar, zmniejsza prawdopodobieństwo, że oprzyrządowanie zostanie poddane inżynierii wstecznej lub zaadaptowane przez inne grupy i może zapewnić ściślejszą kontrolę nad operacjami, niż jest to dostępne w innym przypadku. Początkowo grupa skupiała się na Ameryce Łacińskiej, z naciskiem na Brazylię. Jednakże zainteresowania grupy uległy rozszerzeniu. W ostatnich miesiącach grupa wymusiła stan wyjątkowy w Oakland w Kalifornii.
8. Akira. Grupa ta wykorzystuje usługi lub aplikacje dostępne publicznie, wykorzystuje słabości w uwierzytelnianiu wieloskładnikowym, a także wykorzystuje znane luki w oprogramowaniu. Akira atakuje instytucje edukacyjne, grupy finansowe, firmy z sektora produkcyjnego, nieruchomości i branży medycznej. W przeszłości grupa ujawniała dane ofiar na swoich stronach internetowych. Rozmiar wyciekających danych wahał się od 5,9 GB do 259 GB . Żądania okupu wynosiły od 200 000 do kilku milionów dolarów.
9. NoEscape. Na początku tego roku hakerzy szybko stali się poważnym zagrożeniem. NoEscape twierdzi, że od podstaw zbudowało swoje złośliwe oprogramowanie i towarzyszącą mu infrastrukturę. Jeśli chodzi o cele, wydaje się, że operatorzy NoEscape unikają ataków na organizacje Wspólnoty Niepodległych Państw (WNP).
10. Inne. Około 34% ataków ransomware jest przeprowadzanych przez inne grupy cyberprzestępcze. Należą do nich m.in. BlackBasta, Hive i Conti, a także inne, z których część ukrywa się za ciągłymi zmianami nazw, próbując stale dokonywać „rebrandingu”.