Ransomware je významným vektorom hrozieb, ktorý stojí podniky, korporácie a prevádzkovateľov infraštruktúry miliardy dolárov ročne. Za týmito hrozbami sa skrývajú profesionálne ransomvérové gangy, ktoré vytvárajú a šíria malvér, ktorý umožňuje útoky.
Niektoré z týchto skupín útočia na obete priamo, zatiaľ čo iné prevádzkujú populárny model Ransomware-as-a-Service (RaaS), ktorý umožňuje pridruženým spoločnostiam vydierať konkrétne organizácie.
Keďže hrozba ransomvéru neustále rastie, poznať nepriateľa a jeho fungovanie je jediným spôsobom, ako zostať vpredu. Takže tu je zoznam piatich najnebezpečnejších skupín ransomvéru, ktoré narúšajú prostredie kybernetickej bezpečnosti.
1. REvil
Skupina REvil ransomware, aka Sodinokibi, má sídlo v Rusku ransomware-as-a-service (RaaS) operácia, ktorá sa prvýkrát objavila v apríli 2019. Považuje sa za jednu z najbezohľadnejších skupín ransomvéru s prepojením na ruskú Federálnu službu pre služby (FSB).
Skupina rýchlo upútala pozornosť odborníkov na kybernetickú bezpečnosť pre svoju technickú zdatnosť a drzosť ísť za vysokými cieľmi. Rok 2021 bol pre skupinu najziskovejším rokom, pretože sa zameral na viaceré nadnárodné podniky a narušil niekoľko odvetví.
Hlavné obete
V marci 2021 REvil zaútočil na elektronickú a hardvérovú korporáciu Acer a kompromitoval jej servery. Útočníci požadovali 50 miliónov dolárov za dešifrovací kľúč a pohrozili zvýšením výkupného na 100 miliónov dolárov, ak spoločnosť nesplní požiadavky skupiny.
O mesiac neskôr skupina uskutočnila ďalší významný útok proti dodávateľovi Apple, spoločnosti Quanta Computers. Pokúsila sa vydierať Quanta aj Apple, ale ani jedna spoločnosť nezaplatila požadované výkupné 50 miliónov dolárov.
Skupina REvil ransomware pokračovala vo svojom hackerskom šialenstve a zamerala sa na JBS Foods, Invenergy, Kaseya a niekoľko ďalších podnikov. JBS Foods bola nútená dočasne zastaviť svoje operácie a za obnovenie prevádzky zaplatila odhadované výkupné vo výške 11 miliónov dolárov v bitcoinoch.
The Kaseya útok prinieslo skupine neželanú pozornosť, pretože priamo ovplyvnilo viac ako 1 500 podnikov na celom svete. Po určitom diplomatickom tlaku ruské úrady v januári 2022 zatkli niekoľkých členov skupiny a zhabali majetok v hodnote miliónov dolárov. Ale toto prerušenie malo krátke trvanie Gang REvil ransomware je opäť v prevádzke od apríla 2022.
2. Conti
Conti je ďalší neslávne známy ransomvérový gang, ktorý sa od konca roku 2018 dostáva na titulky. Používa sa metóda dvojitého vydierania, čo znamená, že skupina zadržiava dešifrovací kľúč a hrozí únikom citlivých údajov, ak nebude zaplatené výkupné. Dokonca prevádzkuje webovú stránku Conti News, ktorá zverejňuje ukradnuté údaje.
Čo robí Conti odlišným od iných skupín ransomvéru, je nedostatok etických obmedzení jeho cieľov. Podnikla niekoľko útokov v sektore vzdelávania a zdravotníctva a požadovala milióny dolárov ako výkupné.
Hlavné obete
Skupina ransomvéru Conti má dlhú históriu zameriavania sa na kritické verejné infraštruktúry, ako je zdravotná starostlivosť, energetika, IT a poľnohospodárstvo. V decembri 2021 skupina oznámila, že kompromitovala indonézsku centrálnu banku a ukradla citlivé údaje vo výške 13,88 GB.
Vo februári 2022 spoločnosť Conti zaútočila na medzinárodného prevádzkovateľa terminálu, spoločnosť SEA-invest. Spoločnosť prevádzkuje 24 námorných prístavov po celej Európe a Afrike a špecializuje sa na manipuláciu so suchým voľne loženým tovarom, ovocím a potravinami, tekutým tovarom (ropa a plyn) a kontajnermi. Útok zasiahol všetkých 24 portov a spôsobil značné narušenie.
Conti tiež kompromitoval verejné školy v okrese Broward v apríli a požadoval výkupné 40 miliónov dolárov. Skupina unikla na svojom blogu ukradnuté dokumenty po tom, čo okres odmietol zaplatiť výkupné.
Nedávno musel kostarický prezident vyhlásiť národnú pohotovosť po útokoch Contiho na niekoľko vládnych agentúr.
3. Temná strana
Skupina ransomvéru DarkSide sa riadi modelom RaaS a zameriava sa na veľké podniky, aby vylákali veľké množstvo peňazí. Robí to tak, že získa prístup k podnikovej sieti, zvyčajne prostredníctvom phishingu alebo hrubej sily, a zašifruje všetky súbory v sieti.
Existuje niekoľko teórií týkajúcich sa pôvodu ransomvérovej skupiny DarkSide. Niektorí analytici si myslia, že má sídlo vo východnej Európe, niekde na Ukrajine alebo v Rusku. Iní sa domnievajú, že skupina má franšízy vo viacerých krajinách vrátane Iránu a Poľska.
Hlavné obete
Skupina DarkSide požaduje obrovské výkupné, ale tvrdí, že má kódex správania. Skupina tvrdí, že sa nikdy nezameriava na školy, nemocnice, vládne inštitúcie a žiadnu infraštruktúru, ktorá ovplyvňuje verejnosť.
V máji 2021 však DarkSide vykonala Útok na Colonial Pipeline a požadoval 5 miliónov dolárov ako výkupné. Išlo o najväčší kybernetický útok na ropnú infraštruktúru v histórii USA a narušil dodávky benzínu a leteckého paliva v 17 štátoch.
Incident vyvolal rozhovory o bezpečnosti kritickej infraštruktúry a o tom, ako musia byť vlády a spoločnosti starostlivejšie pri ich ochrane.
Po útoku sa skupina DarkSide pokúsila očistiť svoje meno tým, že z útoku obvinila pridružené spoločnosti tretích strán. Avšak podľa The Washington PostSkupina sa rozhodla ukončiť svoju činnosť po narastajúcom tlaku zo strany Spojených štátov.
4. DoppelPaymer
Ransomvér DoppelPaymer je nástupcom ransomvéru BitPaymer, ktorý sa prvýkrát objavil v apríli 2019. Využíva nezvyčajnú metódu volania obetí a požadovania výkupného v bitcoinoch.
DoppelPaymer tvrdí, že sídli v Severnej Kórei a riadi sa modelom ransomvéru dvojitého vydierania. Aktivita skupiny klesla týždne po útoku na Colonial Pipeline, ale analytici sa domnievajú, že sa premenovala na skupinu Grief.
Hlavné obete
DopplePaymer sa často zameriava na ropné spoločnosti, automobilky a kritické odvetvia, ako je zdravotníctvo, školstvo a záchranné služby. Ide o prvý ransomvér, ktorý spôsobil smrť pacienta v Nemecku po tom, čo personál záchrannej služby nedokázal komunikovať s nemocnicou.
Skupina sa dostala na titulky, keď zverejnila informácie o voličoch z okresu Hall v štáte Georgia. V minulom roku tiež kompromitovala systémy spoločnosti Kia Motors America pre zákazníkov a ukradla citlivé údaje. Skupina požadovala 404 bitcoinov ako výkupné, čo sa vtedy zhruba rovnalo 20 miliónom dolárov.
5. LockBit
LockBit bol v poslednej dobe jedným z najvýznamnejších ransomvérových gangov vďaka úpadku iných skupín. Od svojho prvého vystúpenia v roku 2019 zaznamenal LockBit nebývalý rast a výrazne rozvinul svoju taktiku.
LockBit pôvodne začal ako nízkoprofilový gang, no popularitu si získal uvedením LockBit 2.0 koncom roka 2021. Skupina nasleduje model RaaS a využíva taktiku dvojitého vydierania na vydieranie obetí.
Hlavné obete
LockBit je v súčasnosti významnou ransomvérovou skupinou, ktorá v máji 2022 predstavuje viac ako 40 percent všetkých ransomvérových útokov. Útočí na organizácie v USA, Číne, Indii a Európe.
Začiatkom tohto roka sa LockBit zameral na Thales Group, francúzsku nadnárodnú elektroniku, a pohrozil únikom citlivých údajov, ak spoločnosť nesplní požiadavky skupiny na výkupné.
Kompromitovala aj francúzske ministerstvo spravodlivosti a zašifrovala ich súbory. Skupina teraz tvrdí, že porušila taliansku daňovú agentúru (L'Agenzia delle Entrate) a ukradli 100 GB dát.
Ochrana pred útokmi ransomvéru
Ransomware je aj naďalej prosperujúcim odvetvím čierneho trhu, ktorý týmto notoricky známym gangom každoročne generuje príjmy v miliardách dolárov. Vzhľadom na finančné výhody a zvyšujúcu sa dostupnosť modelu RaaS sa hrozby budú len zvyšovať.
Rovnako ako v prípade akéhokoľvek škodlivého softvéru, ostražitosť a používanie vhodného bezpečnostného softvéru sú kroky správnym smerom v boji proti ransomvéru. Ak ešte nie ste pripravení investovať do prémiového bezpečnostného nástroja, môžete použiť vstavané nástroje Windows na ochranu pred ransomvérom, aby bol váš počítač v bezpečí.