Ransomware yra didelis grėsmės vektorius, kuris įmonėms, korporacijoms ir infrastruktūros operatoriams kasmet kainuoja milijardus dolerių. Už šių grėsmių slypi profesionalios ransomware gaujos, kuriančios ir platinančios kenkėjiškas programas, leidžiančias atakoms įvykdyti.
Kai kurios iš šių grupių puola aukas tiesiogiai, o kitos naudoja populiarų Ransomware-as-a-Service (RaaS) modelį, leidžiantį filialams išvilioti konkrečias organizacijas.
Kadangi išpirkos reikalaujančių programų grėsmė nuolat auga, vienintelis būdas išlikti priekyje yra žinoti priešą ir kaip jie veikia. Taigi, čia yra penkių daugiausiai mirtinų išpirkos programų grupių, trikdančių kibernetinio saugumo aplinką, sąrašas.
1. REvil
„REvil“ išpirkos reikalaujančių programų grupė, dar žinoma kaip „Sodinokibi“, yra Rusijoje ransomware-as-a-service (RaaS) operacija, kuri pirmą kartą pasirodė 2019 m. balandžio mėn. Tai laikoma viena negailestingiausių išpirkos reikalaujančių programų grupių, turinčių sąsajų su Rusijos federaline paslaugų agentūra (FSB).
Grupė greitai patraukė kibernetinio saugumo profesionalų dėmesį dėl savo techninio meistriškumo ir įžūlumo siekti aukšto lygio taikinių. 2021-ieji grupei buvo pelningiausi metai, nes jie buvo skirti kelioms tarptautinėms įmonėms ir sutrikdė kelias pramonės šakas.
Pagrindinės aukos
2021 m. kovo mėn. REvil užpuolė elektronikos ir techninės įrangos korporaciją Acer ir pakenkė jos serveriams. Užpuolikai pareikalavo 50 milijonų dolerių už iššifravimo raktą ir pagrasino padidinti išpirką iki 100 milijonų JAV dolerių, jei įmonė nepatenkins grupės reikalavimų.
Po mėnesio grupė įvykdė dar vieną didelio atgarsio išpuolį prieš Apple tiekėją Quanta Computers. Ji bandė šantažuoti tiek „Quanta“, tiek „Apple“, tačiau nė viena bendrovė nesumokėjo reikalaujamos 50 mln. USD išpirkos.
„REvil“ išpirkos reikalaujančių programų grupė tęsė įsilaužimo šėlsmą ir nusitaikė į „JBS Foods“, „Invenergy“, „Kaseya“ ir keletą kitų įmonių. „JBS Foods“ buvo priversta laikinai nutraukti savo veiklą ir sumokėjo maždaug 11 mln. USD išpirką „Bitcoin“, kad atnaujintų veiklą.
The Kasėjos puolimas grupė sulaukė nepageidaujamo dėmesio, nes tai tiesiogiai paveikė daugiau nei 1500 įmonių visame pasaulyje. Po tam tikro diplomatinio spaudimo Rusijos valdžia 2022 m. sausį suėmė kelis grupuotės narius ir konfiskavo milijonų dolerių vertės turtą. Tačiau šis sutrikimas buvo trumpalaikis REvil ransomware gauja vėl pradėjo veikti nuo 2022 m. balandžio mėn.
2. Conti
„Conti“ yra dar viena liūdnai pagarsėjusi išpirkos reikalaujančių programų gauja, kuri antraštėse puikuojasi nuo 2018 m. pabaigos. Jis naudoja dvigubo turto prievartavimo metodas, o tai reiškia, kad grupė sulaiko iššifravimo raktą ir grasina nutekinti slaptus duomenis, jei nebus sumokėta išpirka. Ji netgi valdo nutekėjusią svetainę „Conti News“, kad paskelbtų pavogtus duomenis.
Kuo „Conti“ skiriasi nuo kitų išpirkos reikalaujančių programų grupių, yra tai, kad jos tikslams nėra etinių apribojimų. Ji surengė keletą išpuolių švietimo ir sveikatos priežiūros sektoriuose ir pareikalavo milijonų dolerių išpirkos.
Pagrindinės aukos
„Conti ransomware“ grupė ilgą laiką orientuojasi į svarbias viešąsias infrastruktūras, tokias kaip sveikatos priežiūra, energetika, IT ir žemės ūkis. 2021 m. gruodį grupė pranešė, kad pakenkė Indonezijos centriniam bankui ir pavogė neskelbtinų duomenų, kurių dydis siekia 13,88 GB.
2022 m. vasarį Conti užpuolė tarptautinį terminalo operatorių SEA-invest. Bendrovė valdo 24 jūrų uostus visoje Europoje ir Afrikoje ir specializuojasi birių krovinių, vaisių ir maisto, skystų birių (naftos ir dujų) ir konteinerių krovime. Ataka paveikė visus 24 uostus ir sukėlė didelių sutrikimų.
Balandį Conti taip pat sukompromitavo Browardo apygardos valstybines mokyklas ir pareikalavo 40 milijonų dolerių išpirkos. Grupuotė savo tinklaraštyje paviešino pavogtus dokumentus, rajonui atsisakius sumokėti išpirką.
Visai neseniai Kosta Rikos prezidentas turėjo paskelbti nacionalinę nepaprastąją padėtį po Conti išpuolių prieš kelias vyriausybines agentūras.
3. Tamsioji pusė
„DarkSide“ išpirkos reikalaujančių programų grupė vadovaujasi „RaaS“ modeliu ir taikosi į dideles įmones, siekdama išvilioti dideles pinigų sumas. Tai daroma gaudama prieigą prie įmonės tinklo, dažniausiai per sukčiavimą arba žiaurią jėgą, ir užšifruoja visus tinkle esančius failus.
Yra keletas teorijų apie „DarkSide“ išpirkos programų grupės kilmę. Kai kurie analitikai mano, kad ji įsikūrusi Rytų Europoje, kažkur Ukrainoje ar Rusijoje. Kiti mano, kad grupė turi franšizes keliose šalyse, įskaitant Iraną ir Lenkiją.
Pagrindinės aukos
Grupė „DarkSide“ reikalauja didžiulių išpirkų, tačiau teigia turinti elgesio kodeksą. Grupė tvirtina, kad ji niekada netaikoma mokykloms, ligoninėms, vyriausybinėms institucijoms ir bet kokiai infrastruktūrai, kuri turi įtakos visuomenei.
Tačiau 2021 m. gegužę „DarkSide“ atliko Kolonijinio vamzdyno puolimas ir pareikalavo 5 milijonų dolerių išpirkos. Tai buvo didžiausia kibernetinė ataka prieš naftos infrastruktūrą JAV istorijoje ir sutrikdė benzino ir reaktyvinių degalų tiekimą 17 valstijų.
Šis incidentas paskatino pokalbius apie ypatingos svarbos infrastruktūros objektų saugumą ir tai, kaip vyriausybės ir įmonės turi būti uoliau jas apsaugoti.
Po išpuolio grupė „DarkSide“ bandė išvalyti savo pavadinimą, kaltindama trečiųjų šalių filialus dėl išpuolio. Tačiau, anot „The Washington Post“., grupė nusprendė nutraukti savo veiklą po stiprėjančio JAV spaudimo.
4. DoppelPaymer
DoppelPaymer išpirkos reikalaujančios programos yra BitPaymer išpirkos reikalaujančios programinės įrangos, kuri pirmą kartą pasirodė 2019 m. balandžio mėn., įpėdinė. Jame naudojamas neįprastas būdas iškviesti aukas ir reikalauti išpirkos bitkoinais.
„DoppelPaymer“ teigia esanti Šiaurės Korėjoje ir vadovaujasi dvigubo turto prievartavimo išpirkos programinės įrangos modeliu. Grupės veikla sumažėjo praėjus kelioms savaitėms po kolonijinio vamzdyno atakos, tačiau analitikai mano, kad ji persivadino į Griefo grupę.
Pagrindinės aukos
„DopplePaymer“ dažnai taikosi į naftos įmones, automobilių gamintojus ir svarbias pramonės šakas, tokias kaip sveikatos priežiūra, švietimas ir skubios pagalbos tarnybos. Tai pirmoji išpirkos reikalaujanti programinė įranga, sukėlusi paciento mirtį Vokietijoje, kai greitosios pagalbos personalas negalėjo susisiekti su ligonine.
Grupė pateko į antraštes, kai paskelbė rinkėjų informaciją iš Holo apygardos, Džordžijos valstijoje. Praėjusiais metais taip pat buvo pažeistos „Kia Motors America“ klientams skirtos sistemos ir pavogti neskelbtini duomenys. Grupė pareikalavo 404 bitkoinų išpirkos, o tai maždaug atitiko 20 mln.
5. LockBit
Dėl kitų grupių nuosmukio „LockBit“ pastaruoju metu buvo viena ryškiausių „ransomware“ gaujų. Nuo pirmojo pasirodymo 2019 m. „LockBit“ patyrė precedento neturintį augimą ir gerokai patobulino savo taktiką.
Iš pradžių „LockBit“ pradėjo veikti kaip žemo profilio gauja, tačiau išpopuliarėjo, kai 2021 m. pabaigoje buvo paleista „LockBit 2.0“. Grupė laikosi RaaS modelio ir taiko dvigubą turto prievartavimo taktiką, siekdama šantažuoti aukas.
Pagrindinės aukos
Šiuo metu „LockBit“ yra galinga išpirkos reikalaujančių programų grupė, 2022 m. gegužės mėn. sudariusi daugiau nei 40 procentų visų išpirkos reikalaujančių atakų. Jis atakuoja organizacijas JAV, Kinijoje, Indijoje ir Europoje.
Anksčiau šiais metais „LockBit“ nusitaikė į „Thales Group“, tarptautinę prancūzų elektronikos įmonę, ir grasino nutekinti neskelbtinus duomenis, jei įmonė neįvykdys grupės išpirkos reikalavimų.
Tai taip pat pakenkė Prancūzijos teisingumo ministerijai ir užšifravo jų failus. Grupė dabar teigia pažeidusi Italijos mokesčių agentūrą (L'Agenzia delle Entrate) ir pavogė 100 GB duomenų.
Apsauga nuo Ransomware atakų
Ransomware ir toliau yra klestinti juodosios rinkos pramonė, kasmet šioms liūdnai pagarsėjusioms gaujoms generuojanti milijardus dolerių pajamų. Atsižvelgiant į finansinę naudą ir didėjantį RaaS modelio prieinamumą, grėsmės tik didės.
Kaip ir bet kurios kenkėjiškos programos atveju, budrumas ir tinkamos saugos programinės įrangos naudojimas yra žingsniai teisinga linkme kovojant su išpirkos reikalaujančiomis programomis. Jei dar nesate pasiruošę investuoti į aukščiausios kokybės saugos įrankį, galite naudoti Windows integruotus apsaugos nuo išpirkos įrankius, kad apsaugotumėte kompiuterį.
