Το Ransomware είναι ένας σημαντικός φορέας απειλής, που κοστίζει δισεκατομμύρια δολάρια ετησίως στις επιχειρήσεις, τις εταιρείες και τους φορείς εκμετάλλευσης υποδομών. Πίσω από αυτές τις απειλές κρύβονται επαγγελματικές συμμορίες ransomware που δημιουργούν και διανέμουν κακόβουλο λογισμικό που καθιστά δυνατές τις επιθέσεις.
Ορισμένες από αυτές τις ομάδες επιτίθενται απευθείας στα θύματα, ενώ άλλες εκτελούν το δημοφιλές μοντέλο Ransomware-as-a-Service (RaaS) που επιτρέπει στις θυγατρικές να εκβιάζουν συγκεκριμένους οργανισμούς.
Με την απειλή ransomware να αυξάνεται συνεχώς, η γνώση του εχθρού και του τρόπου λειτουργίας του είναι ο μόνος τρόπος να παραμείνετε μπροστά. Έτσι, εδώ είναι μια λίστα με τις πέντε κορυφαίες ομάδες ransomware που διαταράσσουν το τοπίο της ασφάλειας στον κυβερνοχώρο.
1. REvil
Η ομάδα ransomware REvil, γνωστή και ως Sodinokibi, είναι μια εταιρεία με έδρα τη Ρωσία ransomware-as-a-service (RaaS) λειτουργία που πρωτοεμφανίστηκε τον Απρίλιο του 2019. Θεωρείται μια από τις πιο αδίστακτες ομάδες ransomware με συνδέσμους στη Ρωσική Ομοσπονδιακή Υπηρεσία Υπηρεσιών (FSB).
Η ομάδα τράβηξε γρήγορα την προσοχή των επαγγελματιών της κυβερνοασφάλειας για την τεχνική της ικανότητα και το θράσος να κυνηγά στόχους υψηλού προφίλ. Το 2021 ήταν η πιο κερδοφόρα χρονιά για τον όμιλο, καθώς στόχευσε πολλές πολυεθνικές επιχειρήσεις και ανέτρεψε αρκετούς κλάδους.
Μεγάλα θύματα
Τον Μάρτιο του 2021, Ο REvil επιτέθηκε στην εταιρεία ηλεκτρονικών ειδών και υλικού Acer και παραβίασε τους διακομιστές του. Οι εισβολείς ζήτησαν 50 εκατομμύρια δολάρια για ένα κλειδί αποκρυπτογράφησης και απείλησαν να αυξήσουν τα λύτρα στα 100 εκατομμύρια δολάρια εάν η εταιρεία δεν ανταποκρινόταν στις απαιτήσεις του ομίλου.
Ένα μήνα αργότερα, η ομάδα πραγματοποίησε μια άλλη επίθεση υψηλού προφίλ εναντίον του προμηθευτή της Apple, της Quanta Computers. Προσπάθησε να εκβιάσει τόσο την Quanta όσο και την Apple, αλλά καμία από τις εταιρείες δεν πλήρωσε τα λύτρα των 50 εκατομμυρίων δολαρίων.
Ο όμιλος ransomware REvil συνέχισε το χάκερ του και στόχευσε τις JBS Foods, Invenergy, Kaseya και πολλές άλλες επιχειρήσεις. Η JBS Foods αναγκάστηκε να κλείσει προσωρινά τις δραστηριότητές της και κατέβαλε λύτρα περίπου 11 εκατομμυρίων δολαρίων σε Bitcoin για να συνεχίσει τη λειτουργία της.
ο Επίθεση Kaseya έφερε κάποια ανεπιθύμητη προσοχή στον όμιλο καθώς επηρέασε άμεσα περισσότερες από 1.500 επιχειρήσεις σε όλο τον κόσμο. Μετά από κάποια διπλωματική πίεση, οι ρωσικές αρχές συνέλαβαν πολλά μέλη της ομάδας τον Ιανουάριο του 2022 και κατέσχεσαν περιουσιακά στοιχεία αξίας εκατομμυρίων δολαρίων. Αλλά αυτή η διαταραχή ήταν βραχύβια καθώς η Η συμμορία ransomware REvil έχει δημιουργηθεί ξανά και λειτουργεί από τον Απρίλιο του 2022.
2. Conti
Η Conti είναι μια άλλη διαβόητη συμμορία ransomware που γίνεται πρωτοσέλιδο από τα τέλη του 2018. Χρησιμοποιεί το μέθοδος διπλού εκβιασμού, που σημαίνει ότι η ομάδα κρατά το κλειδί αποκρυπτογράφησης και απειλεί να διαρρεύσει ευαίσθητα δεδομένα εάν δεν πληρωθούν τα λύτρα. Τρέχει ακόμη και έναν ιστότοπο διαρροής, Conti News, για να δημοσιεύσει τα κλεμμένα δεδομένα.
Αυτό που κάνει την Conti να διαφέρει από άλλες ομάδες ransomware είναι η έλλειψη ηθικών περιορισμών στους στόχους της. Διεξήγαγε αρκετές επιθέσεις στους τομείς της εκπαίδευσης και της υγειονομικής περίθαλψης και ζήτησε εκατομμύρια δολάρια σε λύτρα.
Μεγάλα θύματα
Η ομάδα ransomware Conti έχει μακρά ιστορία στόχευσης κρίσιμων δημόσιων υποδομών όπως η υγειονομική περίθαλψη, η ενέργεια, η πληροφορική και η γεωργία. Τον Δεκέμβριο του 2021, ο όμιλος ανέφερε ότι παραβίασε την κεντρική τράπεζα της Ινδονησίας και έκλεψε ευαίσθητα δεδομένα ύψους 13,88 GB.
Τον Φεβρουάριο του 2022, η Conti επιτέθηκε σε έναν διεθνή χειριστή τερματικού σταθμού, τη SEA-invest. Η εταιρεία λειτουργεί 24 θαλάσσια λιμάνια σε όλη την Ευρώπη και την Αφρική και ειδικεύεται στο χειρισμό ξηρού χύδην φορτίου, φρούτων και τροφίμων, υγρού χύδην (πετρέλαιο και αέριο) και εμπορευματοκιβωτίων. Η επίθεση επηρέασε και τα 24 λιμάνια και προκάλεσε σημαντικές διακοπές.
Ο Conti είχε επίσης συμβιβάσει τα δημόσια σχολεία της κομητείας Broward τον Απρίλιο και ζήτησε 40 εκατομμύρια δολάρια ως λύτρα. Η ομάδα διέρρευσε κλεμμένα έγγραφα στο ιστολόγιό της αφού η περιφέρεια αρνήθηκε να πληρώσει τα λύτρα.
Πιο πρόσφατα, ο πρόεδρος της Κόστα Ρίκα χρειάστηκε να κηρύξει κατάσταση έκτακτης ανάγκης μετά τις επιθέσεις του Κόντι σε αρκετές κυβερνητικές υπηρεσίες.
3. Σκοτεινή πλευρά
Η ομάδα ransomware DarkSide ακολουθεί το μοντέλο RaaS και στοχεύει μεγάλες επιχειρήσεις για να αποσπάσουν μεγάλα χρηματικά ποσά. Το κάνει αποκτώντας πρόσβαση στο δίκτυο μιας εταιρείας, συνήθως μέσω phishing ή ωμής βίας, και κρυπτογραφεί όλα τα αρχεία στο δίκτυο.
Υπάρχουν αρκετές θεωρίες σχετικά με την προέλευση της ομάδας ransomware DarkSide. Ορισμένοι αναλυτές πιστεύουν ότι εδρεύει στην Ανατολική Ευρώπη, κάπου στην Ουκρανία ή τη Ρωσία. Άλλοι πιστεύουν ότι ο όμιλος έχει franchise σε πολλές χώρες, συμπεριλαμβανομένου του Ιράν και της Πολωνίας.
Μεγάλα θύματα
Η ομάδα DarkSide κάνει τεράστιες απαιτήσεις για λύτρα, αλλά ισχυρίζεται ότι έχει κώδικα συμπεριφοράς. Η ομάδα ισχυρίζεται ότι δεν στοχεύει ποτέ σχολεία, νοσοκομεία, κυβερνητικά ιδρύματα και οποιαδήποτε υποδομή επηρεάζει το κοινό.
Ωστόσο, τον Μάιο του 2021, το DarkSide πραγματοποίησε την Επίθεση αποικιακού αγωγού και ζήτησε 5 εκατομμύρια δολάρια ως λύτρα. Ήταν η μεγαλύτερη κυβερνοεπίθεση σε υποδομές πετρελαίου στην ιστορία των ΗΠΑ και διατάραξε τον εφοδιασμό βενζίνης και καυσίμων αεροσκαφών σε 17 πολιτείες.
Το περιστατικό πυροδότησε συζητήσεις σχετικά με την ασφάλεια των υποδομών ζωτικής σημασίας και πώς οι κυβερνήσεις και οι εταιρείες πρέπει να είναι πιο επιμελείς για την προστασία τους.
Μετά την επίθεση, η ομάδα DarkSide προσπάθησε να καθαρίσει το όνομά της κατηγορώντας τρίτες θυγατρικές για την επίθεση. Ωστόσο, σύμφωνα με Η Washington Post, ο όμιλος αποφάσισε να κλείσει τις δραστηριότητές του μετά από αυξανόμενες πιέσεις από τις Ηνωμένες Πολιτείες.
4. DoppelPaymer
Το ransomware DoppelPaymer είναι διάδοχος του ransomware BitPaymer που πρωτοεμφανίστηκε τον Απρίλιο του 2019. Χρησιμοποιεί την ασυνήθιστη μέθοδο να καλεί θύματα και να απαιτεί λύτρα σε bitcoin.
Η DoppelPaymer ισχυρίζεται ότι εδρεύει στη Βόρεια Κορέα και ακολουθεί το μοντέλο διπλού εκβιασμού ransomware. Η δραστηριότητα της ομάδας μειώθηκε εβδομάδες μετά την επίθεση του Colonial Pipeline, αλλά οι αναλυτές πιστεύουν ότι μετονομάστηκε σε ομάδα Grief.
Μεγάλα θύματα
Το DopplePaymer στοχεύει συχνά πετρελαϊκές εταιρείες, αυτοκινητοβιομηχανίες και κρίσιμες βιομηχανίες όπως η υγειονομική περίθαλψη, η εκπαίδευση και οι υπηρεσίες έκτακτης ανάγκης. Είναι το πρώτο ransomware που προκάλεσε το θάνατο ενός ασθενούς στη Γερμανία αφού το προσωπικό της υπηρεσίας έκτακτης ανάγκης δεν μπορούσε να επικοινωνήσει με το νοσοκομείο.
Η ομάδα έγινε πρωτοσέλιδο όταν δημοσίευσε πληροφορίες ψηφοφόρων από την Κομητεία Χολ της Τζόρτζια. Πέρυσι, έθεσε σε κίνδυνο τα συστήματα που αντιμετωπίζουν οι πελάτες της Kia Motors America και έκλεψε ευαίσθητα δεδομένα. Η ομάδα ζήτησε 404 bitcoins ως λύτρα, περίπου ισοδύναμα με 20 εκατομμύρια δολάρια τότε.
5. LockBit
Το LockBit είναι πρόσφατα μια από τις πιο εξέχουσες συμμορίες ransomware, χάρη στην παρακμή άλλων ομάδων. Από την πρώτη του εμφάνιση το 2019, το LockBit γνώρισε πρωτοφανή ανάπτυξη και εξέλιξε σημαντικά τις τακτικές του.
Το LockBit ξεκίνησε ως μια συμμορία χαμηλού προφίλ αρχικά, αλλά κέρδισε δημοτικότητα με την κυκλοφορία του LockBit 2.0 στα τέλη του 2021. Η ομάδα ακολουθεί το μοντέλο RaaS και χρησιμοποιεί την τακτική του διπλού εκβιασμού για να εκβιάσει τα θύματα.
Μεγάλα θύματα
Το LockBit είναι επί του παρόντος μια ομάδα με επιρροή ransomware, η οποία αντιπροσωπεύει πάνω από το 40 τοις εκατό όλων των επιθέσεων ransomware τον Μάιο του 2022. Επιτίθεται σε οργανισμούς στις ΗΠΑ, την Κίνα, την Ινδία και την Ευρώπη.
Νωρίτερα φέτος, η LockBit στόχευσε την Thales Group, μια γαλλική πολυεθνική ηλεκτρονικών ειδών, και απείλησε να διαρρεύσει ευαίσθητα δεδομένα εάν η εταιρεία δεν ανταποκρινόταν στις απαιτήσεις του ομίλου για λύτρα.
Επίσης, παραβίασε το γαλλικό Υπουργείο Δικαιοσύνης και κρυπτογραφούσε τα αρχεία τους. Η ομάδα τώρα ισχυρίζεται ότι παραβίασε την ιταλική φορολογική υπηρεσία (L'Agenzia delle Entrate) και έκλεψαν 100 GB δεδομένων.
Προστασία από επιθέσεις Ransomware
Το Ransomware συνεχίζει να είναι μια ακμάζουσα βιομηχανία μαύρης αγοράς, δημιουργώντας δισεκατομμύρια δολάρια σε έσοδα για αυτές τις διαβόητες συμμορίες κάθε χρόνο. Δεδομένων των οικονομικών οφελών και της αυξανόμενης διαθεσιμότητας του μοντέλου RaaS, οι απειλές είναι βέβαιο ότι θα αυξηθούν.
Όπως συμβαίνει με οποιοδήποτε κακόβουλο λογισμικό, η επαγρύπνηση και η χρήση κατάλληλου λογισμικού ασφαλείας είναι βήματα προς τη σωστή κατεύθυνση για την καταπολέμηση του ransomware. Εάν δεν είστε ακόμη έτοιμοι να επενδύσετε σε ένα εργαλείο ασφαλείας premium, μπορείτε να χρησιμοποιήσετε τα ενσωματωμένα εργαλεία προστασίας ransomware των Windows για να διατηρήσετε τον υπολογιστή σας ασφαλή.
