Ransomware ir nozīmīgs draudu pārnēsātājs, kas uzņēmumiem, korporācijām un infrastruktūras operatoriem katru gadu izmaksā miljardus dolāru. Aiz šiem draudiem slēpjas profesionālas ransomware bandas, kas rada un izplata ļaunprātīgu programmatūru, kas padara iespējamus uzbrukumus.
Dažas no šīm grupām uzbrūk upuriem tieši, savukārt citas izmanto populāro Ransomware-as-a-Service (RaaS) modeli, kas ļauj saistītajiem uzņēmumiem izspiest konkrētas organizācijas.
Tā kā izpirkuma programmatūras draudi pastāvīgi pieaug, vienīgais veids, kā noturēties priekšā, ir zināt ienaidnieku un to, kā tie darbojas. Tātad, šeit ir saraksts ar piecām visnāvējošākajām izspiedējvīrusu grupām, kas traucē kiberdrošības ainavu.
1. REvil
Izpirkuma programmatūras grupa REvil, pazīstama arī kā Sodinokibi, ir Krievijā bāzēta ransomware-as-a-service (RaaS) operācija, kas pirmo reizi parādījās 2019. gada aprīlī. Tā tiek uzskatīta par vienu no nežēlīgākajām izspiedējvīrusu grupām ar saitēm uz Krievijas Federālo pakalpojumu aģentūru (FSB).
Grupa ātri piesaistīja kiberdrošības profesionāļu uzmanību ar savu tehnisko meistarību un uzdrīkstēšanos ķerties pie augsta līmeņa mērķiem. 2021. gads grupai bija ienesīgākais gads, jo tas bija vērsts uz vairākiem starptautiskiem uzņēmumiem un izjauca vairākas nozares.
Galvenie upuri
2021. gada martā, REvil uzbruka elektronikas un aparatūras korporācijai Acer un kompromitēja tā serverus. Uzbrucēji pieprasīja 50 miljonus dolāru par atšifrēšanas atslēgu un draudēja palielināt izpirkuma maksu līdz 100 miljoniem dolāru, ja uzņēmums neizpildīs grupas prasības.
Mēnesi vēlāk grupa veica vēl vienu augsta līmeņa uzbrukumu Apple piegādātājam Quanta Computers. Tā mēģināja šantažēt gan Quanta, gan Apple, taču neviens uzņēmums nesamaksāja pieprasīto 50 miljonu dolāru izpirkuma maksu.
Grupa REvil ransomware turpināja uzlaušanu un mērķēja uz JBS Foods, Invenergy, Kaseya un vairākiem citiem uzņēmumiem. Uzņēmums JBS Foods bija spiests uz laiku pārtraukt savu darbību un, lai atsāktu darbību, samaksāja Bitcoin izpirkuma maksu aptuveni 11 miljonu dolāru apmērā.
The Kaseja uzbrukums pievērsa grupai nevēlamu uzmanību, jo tas tieši ietekmēja vairāk nekā 1500 uzņēmumus visā pasaulē. Pēc zināma diplomātiskā spiediena Krievijas varas iestādes 2022. gada janvārī arestēja vairākus grupas dalībniekus un konfiscēja aktīvus miljoniem dolāru vērtībā. Bet šis traucējums bija īslaicīgs, jo REvil ransomware banda ir atkal izveidota un darbojas kopš 2022. gada aprīļa.
2. Conti
Conti ir vēl viena bēdīgi slavena ransomware banda, kas publicējusi virsrakstus kopš 2018. gada beigām. Tas izmanto dubultās izspiešanas metode, kas nozīmē, ka grupa aiztur atšifrēšanas atslēgu un draud nopludināt sensitīvus datus, ja netiks samaksāta izpirkuma maksa. Tas pat pārvalda noplūdes vietni Conti News, lai publicētu nozagtos datus.
Tas, kas Conti atšķir no citām izspiedējvīrusu grupām, ir ētisku ierobežojumu trūkums tās mērķiem. Tā veica vairākus uzbrukumus izglītības un veselības aprūpes nozarēs un pieprasīja miljoniem dolāru izpirkuma maksu.
Galvenie upuri
Conti ransomware grupai ir sena vēsture, kas ir vērsta uz kritiskām publiskajām infrastruktūrām, piemēram, veselības aprūpi, enerģētiku, IT un lauksaimniecību. 2021. gada decembrī grupa ziņoja, ka tā ir apdraudējusi Indonēzijas centrālo banku un nozagusi sensitīvus datus 13,88 GB apmērā.
2022. gada februārī Conti uzbruka starptautiskam termināļu operatoram SEA-invest. Uzņēmums pārvalda 24 jūras ostas visā Eiropā un Āfrikā un specializējas beramkravu, augļu un pārtikas, šķidro beramkravu (nafta un gāze) un konteineru pārkraušanā. Uzbrukums skāra visas 24 ostas un radīja ievērojamus traucējumus.
Konti arī aprīlī bija kompromitējis Brovardas apgabala valsts skolas un pieprasīja 40 miljonus dolāru izpirkuma maksu. Grupa savā emuārā nopludināja nozagtus dokumentus pēc tam, kad rajons atteicās maksāt izpirkuma maksu.
Pavisam nesen Kostarikas prezidentam bija jāizsludina valsts ārkārtas situācija pēc Konti uzbrukumiem vairākām valdības aģentūrām.
3. Tumšā puse
DarkSide ransomware grupa seko RaaS modelim un ir vērsta uz lielajiem uzņēmumiem, lai izspiestu lielas naudas summas. Tas tiek darīts, iegūstot piekļuvi uzņēmuma tīklam, parasti izmantojot pikšķerēšanu vai brutālu spēku, un šifrē visus tīklā esošos failus.
Ir vairākas teorijas par DarkSide izspiedējvīrusu grupas izcelsmi. Daži analītiķi domā, ka tas atrodas Austrumeiropā, kaut kur Ukrainā vai Krievijā. Citi uzskata, ka grupai ir franšīzes vairākās valstīs, tostarp Irānā un Polijā.
Galvenie upuri
Grupa DarkSide pieprasa milzīgas izpirkuma maksas, taču apgalvo, ka tai ir rīcības kodekss. Grupa apgalvo, ka tā nekad nav vērsta uz skolām, slimnīcām, valsts iestādēm un jebkuru infrastruktūru, kas ietekmē sabiedrību.
Tomēr 2021. gada maijā DarkSide veica Koloniālā cauruļvada uzbrukums un pieprasīja 5 miljonus dolāru izpirkuma maksu. Tas bija lielākais kiberuzbrukums naftas infrastruktūrai ASV vēsturē un traucēja benzīna un reaktīvo degvielas piegādi 17 štatos.
Incidents izraisīja sarunas par kritiskās infrastruktūras drošību un to, kā valdībām un uzņēmumiem jābūt rūpīgākiem, lai tās aizsargātu.
Pēc uzbrukuma grupa DarkSide mēģināja notīrīt savu vārdu, vainojot uzbrukumā trešās puses saistītos uzņēmumus. Tomēr saskaņā ar The Washington Post, grupa nolēma pārtraukt savu darbību pēc pieaugošā ASV spiediena.
4. DoppelPaymer
DoppelPaymer izpirkuma programmatūra ir BitPaymer izpirkuma programmatūras pēctecis, kas pirmo reizi parādījās 2019. gada aprīlī. Tajā tiek izmantota neparastā metode upuru izsaukšanai un izpirkuma pieprasīšanai bitkoinos.
DoppelPaymer apgalvo, ka atrodas Ziemeļkorejā un ievēro dubultās izspiešanas izpirkuma programmatūras modeli. Grupas aktivitāte samazinājās nedēļas pēc koloniālā cauruļvada uzbrukuma, taču analītiķi uzskata, ka tā sevi pārdēvēja par grupu Grief.
Galvenie upuri
DopplePaymer bieži ir vērsts uz naftas kompānijām, autoražotājiem un tādām kritiskām nozarēm kā veselības aprūpe, izglītība un neatliekamās palīdzības dienesti. Tā ir pirmā izpirkuma programmatūra, kas Vācijā izraisīja pacienta nāvi pēc tam, kad neatliekamās palīdzības dienesta darbinieki nevarēja sazināties ar slimnīcu.
Grupa nokļuva virsrakstos, publicējot informāciju vēlētājiem no Holas apgabala Džordžijas štatā. Pagājušajā gadā tas arī apdraudēja Kia Motors America klientiem paredzētās sistēmas un nozaga sensitīvus datus. Grupa pieprasīja izpirkuma maksu 404 bitkoinus, kas toreiz bija aptuveni 20 miljoni USD.
5. LockBit
Pateicoties citu grupu lejupslīdei, LockBit pēdējā laikā ir bijusi viena no ievērojamākajām izspiedējvīrusu grupām. Kopš pirmās parādīšanās 2019. gadā, LockBit ir piedzīvojis nepieredzētu izaugsmi un ievērojami attīstījis savu taktiku.
Sākotnēji LockBit sāka darboties kā zema profila grupa, taču ieguva popularitāti līdz ar LockBit 2.0 izlaišanu 2021. gada beigās. Grupa seko RaaS modelim un izmanto dubultu izspiešanas taktiku, lai šantažētu upurus.
Galvenie upuri
LockBit pašlaik ir ietekmīga izpirkuma programmatūras grupa, kas veidoja vairāk nekā 40 procentus no visiem izspiedējvīrusu uzbrukumiem 2022. gada maijā. Tas uzbrūk organizācijām ASV, Ķīnā, Indijā un Eiropā.
Šā gada sākumā LockBit mērķēja uz Thales Group, Francijas daudznacionālo elektronikas uzņēmumu, un draudēja nopludināt sensitīvus datus, ja uzņēmums neizpildīs grupas izpirkuma prasības.
Tas arī apdraudēja Francijas Tieslietu ministriju un šifrēja viņu failus. Grupa tagad apgalvo, ka ir pārkāpusi Itālijas nodokļu aģentūru (L'Agenzia delle Entrate) un nozagti 100 GB datu.
Aizsardzība pret Ransomware uzbrukumiem
Ransomware joprojām ir plaukstoša melnā tirgus nozare, kas katru gadu rada miljardos dolāru ieņēmumus šīm bēdīgi slavenajām bandām. Ņemot vērā finansiālos ieguvumus un pieaugošo RaaS modeļa pieejamību, draudi tikai palielināsies.
Tāpat kā ar jebkuru ļaunprātīgu programmatūru, modrība un atbilstošas drošības programmatūras izmantošana ir soļi pareizajā virzienā, lai apkarotu izspiedējvīrusu programmatūru. Ja vēl neesat gatavs investēt augstākās kvalitātes drošības rīkā, varat izmantot sistēmā Windows iebūvētos aizsardzības rīkus, kas paredzēti aizsardzībai pret izspiedējvīrusu programmatūru, lai nodrošinātu datora drošību.
