Ransomware je značajna prijetnja koja košta tvrtke, korporacije i operatere infrastrukture milijarde dolara godišnje. Iza ovih prijetnji leže profesionalne skupine ransomwarea koje stvaraju i distribuiraju zlonamjerni softver koji omogućuje napade.
Neke od tih skupina izravno napadaju žrtve, dok druge koriste popularni model Ransomware-as-a-Service (RaaS) koji podružnicama omogućuje iznuđivanje određenih organizacija.
Uz stalno rastuću prijetnju ransomwareom, poznavanje neprijatelja i načina na koji djeluju jedini je način da ostanete ispred. Dakle, evo popisa pet najsmrtonosnijih skupina ransomwarea koje remete kibernetičku sigurnost.
1. REVIL
REvil ransomware grupa, a.k.a. Sodinokibi, sa sjedištem je u Rusiji ransomware-as-a-service (RaaS) operacija koja se prvi put pojavila u travnju 2019. Smatra se jednom od najokrutnijih ransomware skupina s vezama s Ruskom agencijom za saveznu službu (FSB).
Grupa je brzo privukla pozornost stručnjaka za kibernetičku sigurnost zbog svog tehničkog umijeća i odvažnosti da napada visokoprofilne mete. 2021. bila je najprofitabilnija godina za grupu jer je ciljala na više multinacionalnih poduzeća i poremetila nekoliko industrija.
Glavne žrtve
U ožujku 2021. REvil je napao elektroničku i hardversku korporaciju Acer i kompromitirao svoje poslužitelje. Napadači su tražili 50 milijuna dolara za ključ za dešifriranje i zaprijetili povećanjem otkupnine na 100 milijuna ako tvrtka ne ispuni zahtjeve grupe.
Mjesec dana kasnije, grupa je izvela još jedan napad visokog profila protiv Appleovog dobavljača, Quanta Computers. Pokušala je ucijeniti i Quantu i Apple, ali niti jedna kompanija nije platila traženu otkupninu od 50 milijuna dolara.
Grupa REvil ransomware nastavila je s hakiranjem i ciljala na JBS Foods, Invenergy, Kaseya i nekoliko drugih tvrtki. JBS Foods bio je prisiljen privremeno prekinuti svoje poslovanje i platio je procijenjenih 11 milijuna dolara otkupnine u Bitcoinima kako bi nastavio s radom.
The Kaseya napad privukao je neželjenu pozornost grupi budući da je izravno utjecao na više od 1500 poduzeća diljem svijeta. Nakon određenog diplomatskog pritiska, ruske su vlasti u siječnju 2022. uhitile nekoliko članova skupine i zaplijenile imovinu vrijednu milijune dolara. Ali ovaj je poremećaj bio kratkog vijeka jer REvil ransomware banda ponovno je proradila od travnja 2022.
2. Conti
Conti je još jedna zloglasna skupina ransomwarea koja se pojavljuje na naslovnicama od kraja 2018. Koristi se metoda dvostrukog iznuđivanja, što znači da grupa zadržava ključ za dešifriranje i prijeti curenjem osjetljivih podataka ako se otkupnina ne plati. Čak ima i internetsku stranicu za curenje podataka, Conti News, za objavljivanje ukradenih podataka.
Ono što Conti čini drugačijim od ostalih grupa ransomwarea je nedostatak etičkih ograničenja za njegove mete. Izvela je nekoliko napada u sektoru obrazovanja i zdravstva i tražila milijune dolara otkupnine.
Glavne žrtve
Grupa Conti ransomware ima dugu povijest ciljanja kritičnih javnih infrastruktura kao što su zdravstvo, energija, IT i poljoprivreda. U prosincu 2021. grupa je izvijestila da je kompromitirala središnju banku Indonezije i ukrala osjetljive podatke u iznosu od 13,88 GB.
U veljači 2022. Conti je napao međunarodnog operatera terminala, SEA-invest. Tvrtka upravlja s 24 morske luke diljem Europe i Afrike i specijalizirana je za rukovanje rasutim teretom, voćem i hranom, tekućim rasutim teretom (nafta i plin) i kontejnerima. Napad je zahvatio sve 24 luke i izazvao značajne smetnje.
Conti je također kompromitirao javne škole okruga Broward u travnju i tražio 40 milijuna dolara otkupnine. Grupa je objavila ukradene dokumente na svom blogu nakon što je okrug odbio platiti otkupninu.
Nedavno je kostarikanski predsjednik morao proglasiti nacionalno izvanredno stanje nakon Contijevih napada na nekoliko vladinih agencija.
3. Tamna strana
Skupina ransomwarea DarkSide slijedi model RaaS i cilja velike tvrtke kako bi iznudila velike količine novca. To čini dobivanjem pristupa mreži tvrtke, obično phishingom ili brutalnom silom, i šifrira sve datoteke na mreži.
Postoji nekoliko teorija o podrijetlu skupine ransomwarea DarkSide. Neki analitičari misle da se nalazi u istočnoj Europi, negdje u Ukrajini ili Rusiji. Drugi vjeruju da grupa ima franšize u više zemalja, uključujući Iran i Poljsku.
Glavne žrtve
Grupa DarkSide postavlja velike zahtjeve za otkupninu, ali tvrdi da ima kodeks ponašanja. Grupa tvrdi da nikada ne cilja na škole, bolnice, vladine institucije i bilo koju infrastrukturu koja utječe na javnost.
Međutim, u svibnju 2021. DarkSide je izveo Napad kolonijalnog naftovoda i tražio 5 milijuna dolara otkupnine. Bio je to najveći kibernetički napad na naftnu infrastrukturu u povijesti SAD-a i poremetio je opskrbu benzinom i mlaznim gorivom u 17 država.
Incident je potaknuo razgovore o sigurnosti kritične infrastrukture i o tome kako vlade i tvrtke moraju biti marljivije u njihovoj zaštiti.
Nakon napada, grupa DarkSide pokušala je oprati svoje ime optuživši za napad podružnice trećih strana. Međutim, prema Washington Post, grupa je odlučila prekinuti svoje operacije nakon sve većeg pritiska iz Sjedinjenih Država.
4. DoppelPaymer
Ransomware DoppelPaymer nasljednik je ransomwarea BitPaymer koji se prvi put pojavio u travnju 2019. Koristi neobičnu metodu pozivanja žrtava i traženja otkupnine u bitcoinima.
DoppelPaymer tvrdi da ima sjedište u Sjevernoj Koreji i slijedi model dvostrukog iznuđivanja ransomwarea. Aktivnost grupe je opala tjednima nakon napada na Colonial Pipeline, ali analitičari vjeruju da se promijenila u grupu Grief.
Glavne žrtve
DopplePaymer često cilja na naftne tvrtke, proizvođače automobila i kritične industrije kao što su zdravstvo, obrazovanje i hitne službe. To je prvi ransomware koji je uzrokovao smrt pacijenta u Njemačkoj nakon što osoblje hitne službe nije moglo komunicirati s bolnicom.
Grupa je dospjela na naslovnice kada je objavila informacije o glasačima iz okruga Hall u Georgiji. Prošle je godine također ugrozio sustave usmjerene na kupce tvrtke Kia Motors America i ukrao osjetljive podatke. Grupa je tražila 404 bitcoina kao otkupninu, što je otprilike odgovaralo tadašnjim 20 milijuna dolara.
5. LockBit
LockBit je u posljednje vrijeme jedna od najistaknutijih skupina ransomwarea, zahvaljujući padu drugih skupina. Od svog prvog pojavljivanja 2019., LockBit je doživio neviđeni rast i značajno je razvio svoju taktiku.
LockBit je u početku počeo kao banda niskog profila, ali je stekao popularnost lansiranjem LockBita 2.0 krajem 2021. Grupa slijedi model RaaS i koristi taktiku dvostrukog iznuđivanja kako bi ucjenjivala žrtve.
Glavne žrtve
LockBit je trenutačno utjecajna grupa ransomwarea, koja čini više od 40 posto svih napada ransomwareom u svibnju 2022. Napada organizacije u SAD-u, Kini, Indiji i Europi.
Ranije ove godine, LockBit je ciljao na Thales Group, francusku elektroničku multinacionalnu tvrtku, i zaprijetio je odavanjem osjetljivih podataka ako tvrtka ne ispuni zahtjeve grupe za otkupninu.
Također je kompromitirao francusko Ministarstvo pravosuđa i šifrirao njihove datoteke. Grupa sada tvrdi da je prekršila talijansku poreznu agenciju (L'Agenzia delle Entrate) i ukrao 100 GB podataka.
Zaštita od napada ransomwarea
Ransomware je i dalje uspješna industrija crnog tržišta, generirajući milijarde dolara prihoda za te ozloglašene bande svake godine. S obzirom na financijske prednosti i sve veću dostupnost RaaS modela, prijetnje će se samo povećavati.
Kao i kod svakog zlonamjernog softvera, oprez i korištenje odgovarajućeg sigurnosnog softvera koraci su u pravom smjeru u borbi protiv ransomwarea. Ako još niste spremni uložiti u vrhunski sigurnosni alat, možete koristiti Windows ugrađene alate za zaštitu od ransomwarea kako biste zaštitili svoje računalo.
