15 przykładów niedawnych ataków ransomware

Trend Micro: zmniejszanie ryzyka związanego z oprogramowaniem ransomware dzięki proaktywnemu zarządzaniu powierzchnią ataku

15 Przykłady ransomware

Ransomware to rodzaj złośliwego oprogramowania, którego celem jest szyfrowanie danych ofiary i żądanie okupu w zamian za klucz do odszyfrowywania. To, co sprawia, że ransomware jest szczególnie niszczycielskie, to jego zdolność do całkowitego blokowania dostępu do danych, często uniemożliwiając odzyskiwanie danych bez tworzenia najnowszych kopii zapasowych. Nawet po zapłaceniu okupu ofiary mogą nigdy nie otrzymać klucza do pracy.

Oprogramowanie ransomware przekształciło się w model typu cyberprzestępczość jako usługa, znany jako Ransomware-as-a-Service (RaaS), który poszerzył ich zasięg. To nowe podejście pozwala programistom ransomware dzierżawić narzędzia ransomware podmiotom stowarzyszonym, co prowadzi do większej liczby ataków.

Co roku pojawiało się coraz więcej grup ransomware — z których każda ma odmienną taktykę, cele i wpływy. Poniżej znajduje się 15 przykładów ransomware, które podkreślają różnorodność i ewolucję tego trwałego zagrożenia cybernetycznego.

RansomHub

RansomHub to grupa Ransomware-as-a-Service (RaaS) wykryta po raz pierwszy w lutym 2024 r. i szybko zyskała popularność ze względu na strategię „polowania na duże gry”, wymierzając się w duże przedsiębiorstwa, które z większym prawdopodobieństwem zapłacą znaczne okupy. RansomHub, śledzony przez Trend Micro jako Water Bakunawa, wykorzystuje luki w zabezpieczeniach kopii zapasowych przechowywanych w chmurze i błędnie skonfigurowane instancje Amazon S3, wykorzystując zaufanie między dostawcami a klientami w celu poprawy ich taktyki wymuszenia.

Rhysida

Rhysida to grupa ransomware, która pojawiła się na początku 2023 r., wykorzystująca taktyki podwójnego wyłudzania, zarówno poprzez szyfrowanie danych ofiar, jak i grożenie ich publikacją, chyba że w Bitcoin zapłacono okup. Podszywają się pod zespół ds. cyberbezpieczeństwa, który pomaga ofiarom, podkreślając słabe strony sieci i systemów. Wykorzystują ataki phishingowe, aby uzyskać początkowy dostęp do nadajników Cobalt Strike w przypadku ruchu bocznego na zainfekowanych maszynach przed wdrożeniem oprogramowania ransomware.

Figure 1: The RansomHub ransomware observed infection chain

Figure 1: The RansomHub ransomware observed infection chain

Akira

Firma Akira pojawiła się na początku 2023 r. i szybko stała się jedną z najsłynniejszych rodzin ransomware. Akira wykorzystuje podwójną taktykę wymuszeń, model dostarczania ransomware jako usługi (RaaS) i niekonwencjonalne opcje płatności — podejście, które przyczyniło się do jej sukcesu operacyjnego. Akira słynie z żądania dużych okupów, których wartość waha się od 200 000 USD do ponad 4 milionów USD.

WannaCry

W maju 2017 r. atak ransomware WannaCry wykorzystał lukę w zabezpieczeniach systemu Microsoft Windows, która zainfekowała ponad 200 000 systemów w ponad 150 krajach. Pliki zaszyfrowane przez złośliwe oprogramowanie i zażądały okupu w Bitcoinach w celu odszyfrowania kluczy. Jedną z największych ofiar ataku WannaCry była brytyjska służba zdrowia (NHS) z maksymalnie 70 000 zainfekowanych urządzeń i około 19 000 odwołanych wizyt lub procedur medycznych.

Figure 2. Infection diagram

Figure 2: Infection diagram

Klapka

Clop ransomware czasami nazywany Cl0p jest aktywny od 2019 r. i słynie z wielopoziomowych taktyk wymuszeń i prestiżowych ataków, które w latach 2019–2021 wymusiły ponad 500 milionów dolarów. Firma Clop wykorzystała również luki w zabezpieczeniach powszechnie używanego oprogramowania, takiego jak Accellion's File Transfer Appliance, aby zmaksymalizować jego zasięg.

8Base

8Baseto grupa ransomware, która jest testerem penetracji, ale jest skierowana przede wszystkim do małych firm. Stosują strategię podwójnego wyłudzania, szyfrując dane i grożąc ujawnieniem wrażliwych informacji, chyba że ofiary zapłacą okup. 8Base stosuje taktykę „nazwiska i wstydu” i twierdzi, że jest skierowana wyłącznie do organizacji, które zaniedbały prywatność danych, mając na celu zaszkodzenie reputacji ofiar poprzez ujawnienie informacji poufnych.

Trigona

Grupa oprogramowania ransomware Trigona szybko ewoluowała, udostępniając wiele wersji z różnymi możliwościami, w tym argumenty wiersza poleceń do szyfrowania niestandardowego. Agresywnie reklamowali wysokie udziały w przychodach w wysokości od 20% do 50% dla jednostek stowarzyszonych, co wskazuje na lukratywną działalność. Jednak w październiku 2023 r. ich działania zostały nagle zakończone, kiedy miejsce wycieku zostało zlikwidowane, przez co ich stan operacyjny był niepewny.

Figure 3. Trigona ransomware’s infection chain

Figure 3: Trigona ransomware’s infection chain

LockBit

LockBit to znana grupa ransomware działająca w modelu Ransomware-as-a-Service (RaaS). Wydano wiele wersji, w tym LockBit 2.0 i 3.0, wprowadzając funkcje takie jak taktyki podwójnego wymuszania i niestandardowe metody szyfrowania. W lutym 2024 r. Operation Cronos, koordynowane działania międzynarodowych organów ścigania, znacząco zakłóciły działalność LockBit, przejmując ich infrastrukturę i aresztując kluczowych członków. Pomimo tych niepowodzeń, LockBit pozostaje znaczącym zagrożeniem w środowisku ransomware.

BlackCat

BlackCat, znany również pod nazwą ALPHV lub AlphaVM, to zaawansowana grupa ransomware działająca na modelu Ransomware-as-a-Service (RaaS) od końca 2021 r. Dotarli do różnych branż, w tym finansów i usług profesjonalnych, i w Stanach Zjednoczonych padli znaczna liczba ofiar. BlackCat wykorzystuje zaawansowane techniki, takie jak faworyzowanie i wykorzystywanie luk w zabezpieczeniach, takich jak Log4J, w celu uzyskania wstępnego dostępu. Są one również znane z publicznego miejsca wycieku danych, które wywiera presję na ofiary, aby sprostać wymaganiom okupu.

Ryuk Ransomware

Ryuk to wariant ransomware powiązany z grupą cyberprzestępców, znaną jako Wizard Spider. W 2019 r. Ryuk zażądał okupów o wartości nawet 12,5 mln USD i był odpowiedzialny za niektóre z największych żądań okupu w tym roku, w tym 5,3 mln USD i 9,9 mln USD. Jej ofiary obejmowały różne sektory, w tym rząd, opiekę zdrowotną i media. Grupa jest również powiązana z innymi złośliwymi programami, takimi jak TrickBot i Emotet, aby ułatwić pierwsze zagrożenia dla systemu.

Source: Malwarebytes

Source: Malwarebytes

Czarny Basta

Black Basta to grupa ransomware działająca jako ransomware jako usługa (RaaS) i szybko zyskała popularność w krajobrazie ransomware, wymierzając się w wiele branż i krytycznej infrastruktury na całym świecie. Zaobserwowano, że grupa wykorzystuje luki w zabezpieczeniach, takie jak QakBot, Brute Ratel i Cobalt Strike, aby infiltrować sieci i eksfiltrować wrażliwe dane.

Królewskie

Royal, grupa ransomware działająca od początku 2022 r., szybko zyskała popularność ze względu na agresywne taktyki i wysokie okupy, od 250 000 USD do ponad 2 milionów USD. Firma Royal stosuje metody podwójnego wymuszenia, szyfrując i usuwając dane, a także rozszerzyła swoją działalność na systemy oparte na systemie Linux, w tym serwery ESXi. Ich ofiary działają w różnych sektorach, a ich koncentracja w Ameryce Północnej jest znacząca.

Figure 5. Royal ransomware’s attack flow

Figure 5: Royal ransomware’s attack flow

Woda Ouroboros

Water Ouroboros, powstała w październiku 2023 r., działa jako grupa ransomware jako usługa (RaaS), rzekomo ewoluując z ransomware Hive po jej zakłóceniu przez FBI w styczniu 2023 r. Koncentrują się bardziej na kradzieży danych niż na szyfrowaniu, wykorzystywaniu luk w zabezpieczeniach, dumpingu poświadczeń i wykorzystaniu zaawansowanego złośliwego oprogramowania zapisanego w językach takich jak Rust. Główne cele firmy to Stany Zjednoczone, Kanada, Wielka Brytania, Francja, Niemcy i Włochy.

Pokrzywka

Hive to grupa Ransomware-as-a-Service (RaaS), która pojawiła się w 2021 r., skierowana do różnych branż na całym świecie, w tym opieki zdrowotnej, finansów i produkcji. Stosują taktyki podwójnego wyłudzania, szyfrując dane i grożąc ujawnieniem informacji wrażliwych, chyba że zostanie zapłacony okup. W styczniu 2023 r. FBI zakłóciła działalność Hive, ale grupa nadal działa pod różnymi aliasami.

Trend Micro Ransomware Protection

W ubiegłym roku 83% organizacji doświadczyło wielu naruszeń, z których każde kosztowało 4,4 miliona dolarów, podczas gdy zmniejszenie narażenia na ryzyko przyniosło średnie oszczędności w wysokości 1,3 miliona dolarów.

Cyber Risk Exposure Management, część naszej platformy cyberbezpieczeństwa dla przedsiębiorstw Trend Vision One™, radykalnie zmniejsza ryzyko cybernetyczne dzięki ciągłemu wykrywaniu, ocenom w czasie rzeczywistym i zautomatyzowanemu łagodzeniu skutków w środowiskach chmurowych, hybrydowych lub lokalnych.

Related Research

Related Article