Ransomware je významný vektor hrozeb, který stojí podniky, korporace a provozovatele infrastruktury miliardy dolarů ročně. Za těmito hrozbami se skrývají profesionální ransomwarové gangy vytvářející a distribuující malware, který umožňuje útoky.
Některé z těchto skupin útočí na oběti přímo, zatímco jiné provozují oblíbený model Ransomware-as-a-Service (RaaS), který umožňuje přidruženým společnostem vydírat konkrétní organizace.
Vzhledem k tomu, že hrozba ransomwaru neustále narůstá, je znalost nepřítele a jeho fungování jediným způsobem, jak zůstat napřed. Zde je seznam pěti nejnebezpečnějších ransomwarových skupin, které narušují prostředí kybernetické bezpečnosti.
1. REvil
Skupina REvil ransomware, aka Sodinokibi, má sídlo v Rusku ransomware-as-a-service (RaaS) operace, která se poprvé objevila v dubnu 2019. Je považována za jednu z nejbezohlednějších ransomwarových skupin s napojením na ruskou Federální servisní agenturu (FSB).
Skupina rychle upoutala pozornost odborníků na kybernetickou bezpečnost pro svou technickou zdatnost a drzost jít za vysokými cíli. Rok 2021 byl pro skupinu nejziskovějším rokem, protože se zaměřila na mnoho nadnárodních společností a narušila několik průmyslových odvětví.
Hlavní oběti
V březnu 2021 REvil zaútočil na elektronickou a hardwarovou korporaci Acer a kompromitoval jeho servery. Útočníci požadovali 50 milionů dolarů za dešifrovací klíč a hrozili zvýšením výkupného na 100 milionů dolarů, pokud společnost nesplní požadavky skupiny.
O měsíc později skupina provedla další významný útok proti dodavateli Applu, společnosti Quanta Computers. Pokusila se vydírat Quanta i Apple, ale ani jedna společnost nezaplatila požadované výkupné 50 milionů dolarů.
Skupina ransomwaru REvil pokračovala ve svém hackerském řádění a zaměřila se na JBS Foods, Invenergy, Kaseya a několik dalších podniků. JBS Foods byla nucena dočasně ukončit své operace a zaplatila odhadem 11 milionů $ výkupné v bitcoinech za obnovení provozu.
The Kaseyův útok přineslo skupině nežádoucí pozornost, protože přímo ovlivnilo více než 1 500 podniků po celém světě. Po určitém diplomatickém nátlaku ruské úřady v lednu 2022 zatkly několik členů skupiny a zabavily majetek v hodnotě milionů dolarů. Ale toto narušení mělo krátké trvání Gang REvil ransomware je opět v provozu od dubna 2022.
2. Conti
Conti je dalším nechvalně známým ransomwarovým gangem, který se od konce roku 2018 dostává do titulků. Používá se metoda dvojitého vydírání, což znamená, že skupina zadržuje dešifrovací klíč a hrozí únikem citlivých dat, pokud nebude zaplaceno výkupné. Dokonce provozuje webovou stránku Conti News, která zveřejňuje ukradená data.
Co dělá Conti odlišnou od ostatních skupin ransomwaru, je nedostatek etických omezení u jejích cílů. Provedla několik útoků ve školství a zdravotnictví a požadovala miliony dolarů jako výkupné.
Hlavní oběti
Skupina Conti ransomware má dlouhou historii zaměřenou na kritické veřejné infrastruktury, jako je zdravotnictví, energetika, IT a zemědělství. V prosinci 2021 skupina oznámila, že kompromitovala indonéskou centrální banku a ukradla citlivá data ve výši 13,88 GB.
V únoru 2022 Conti zaútočila na mezinárodního provozovatele terminálu, SEA-invest. Společnost provozuje 24 námořních přístavů po celé Evropě a Africe a specializuje se na manipulaci se suchým volně loženým zbožím, ovocem a potravinami, tekutým hromadným zbožím (ropa a plyn) a kontejnery. Útok zasáhl všech 24 portů a způsobil značné narušení.
Conti také kompromitoval Broward County Public Schools v dubnu a požadoval 40 milionů dolarů jako výkupné. Skupina na svém blogu zveřejnila ukradené dokumenty poté, co okres odmítl zaplatit výkupné.
Nedávno musel kostarický prezident vyhlásit národní stav nouze po útocích Contiho na několik vládních agentur.
3. Temná strana
Skupina ransomwaru DarkSide následuje model RaaS a zaměřuje se na velké podniky, aby vymohly velké množství peněz. Činí tak tím, že získá přístup do firemní sítě, obvykle pomocí phishingu nebo hrubé síly, a zašifruje všechny soubory v síti.
Existuje několik teorií o původu ransomwarové skupiny DarkSide. Někteří analytici si myslí, že sídlí ve východní Evropě, někde na Ukrajině nebo v Rusku. Jiní se domnívají, že skupina má franšízy v několika zemích, včetně Íránu a Polska.
Hlavní oběti
Skupina DarkSide požaduje obrovské výkupné, ale tvrdí, že má kodex chování. Skupina tvrdí, že se nikdy nezaměřuje na školy, nemocnice, vládní instituce a jakoukoli infrastrukturu, která ovlivňuje veřejnost.
V květnu 2021 však DarkSide provedla Útok na koloniální potrubí a požadoval 5 milionů dolarů jako výkupné. Šlo o největší kybernetický útok na ropnou infrastrukturu v historii USA a narušil dodávky benzinu a leteckého paliva v 17 státech.
Incident vyvolal rozhovory o zabezpečení kritické infrastruktury a o tom, jak musí být vlády a společnosti při jejich ochraně pečlivější.
Po útoku se skupina DarkSide pokusila očistit své jméno tím, že z útoku obvinila přidružené třetí strany. Nicméně, podle Washington Post, se skupina rozhodla ukončit své operace po sílícím tlaku ze Spojených států.
4. DoppelPaymer
Ransomware DoppelPaymer je nástupcem ransomwaru BitPaymer, který se poprvé objevil v dubnu 2019. Využívá neobvyklou metodu volání obětí a požadování výkupného v bitcoinech.
DoppelPaymer tvrdí, že sídlí v Severní Koreji a řídí se modelem dvojitého vydírání ransomwaru. Aktivita skupiny poklesla týdny po útoku na Colonial Pipeline, ale analytici se domnívají, že se přejmenovala na skupinu Grief.
Hlavní oběti
DopplePaymer se často zaměřuje na ropné společnosti, automobilky a kritická odvětví, jako je zdravotnictví, školství a záchranné služby. Je to první ransomware, který způsobil smrt pacienta v Německu poté, co personál záchranné služby nemohl komunikovat s nemocnicí.
Skupina se dostala na titulky, když zveřejnila informace o voličích z Hall County, Georgia. V loňském roce také kompromitovala systémy společnosti Kia Motors America pro zákazníky a ukradla citlivá data. Skupina požadovala 404 bitcoinů jako výkupné, což tehdy zhruba odpovídalo 20 milionům dolarů.
5. LockBit
LockBit je v poslední době jedním z nejvýraznějších ransomwarových gangů, a to díky úpadku jiných skupin. Od svého prvního vystoupení v roce 2019 zaznamenal LockBit nebývalý růst a výrazně vyvinul svou taktiku.
LockBit původně začínal jako nízkoprofilový gang, ale získal popularitu se spuštěním LockBit 2.0 na konci roku 2021. Skupina následuje model RaaS a využívá taktiku dvojitého vydírání k vydírání obětí.
Hlavní oběti
LockBit je v současnosti významnou ransomwarovou skupinou, která v květnu 2022 představuje více než 40 procent všech ransomwarových útoků. Útočí na organizace v USA, Číně, Indii a Evropě.
Začátkem tohoto roku se LockBit zaměřil na Thales Group, francouzskou nadnárodní elektroniku, a hrozil únikem citlivých dat, pokud společnost nesplní požadavky skupiny na výkupné.
Kompromitovala také francouzské ministerstvo spravedlnosti a zašifrovala jejich soubory. Skupina nyní tvrdí, že porušila italský daňový úřad (L'Agenzia delle Entrate) a ukradl 100 GB dat.
Ochrana proti ransomwarovým útokům
Ransomware je i nadále prosperujícím odvětvím černého trhu, které těmto notoricky známým gangům každoročně generuje příjmy v miliardách dolarů. Vzhledem k finančním výhodám a zvyšující se dostupnosti modelu RaaS se hrozby budou jen zvyšovat.
Stejně jako u každého malwaru je ostražitost a používání vhodného bezpečnostního softwaru kroky správným směrem v boji proti ransomwaru. Pokud ještě nejste připraveni investovat do prémiového bezpečnostního nástroje, můžete použít vestavěné nástroje Windows na ochranu před ransomwarem, aby byl váš počítač v bezpečí.