15 przykładów niedawnych ataków ransomware

Nie bądź kolejnym celem — Trend Micro pomoże Ci powstrzymać ransomware

15 Przykłady ransomware

Ransomware to rodzaj złośliwego oprogramowania, którego celem jest szyfrowanie danych ofiary i żądanie okupu w zamian za klucz do odszyfrowywania. To, co sprawia, że ransomware jest szczególnie niszczycielskie, to jego zdolność do całkowitego blokowania dostępu do danych, często uniemożliwiając odzyskiwanie danych bez tworzenia najnowszych kopii zapasowych. Nawet po zapłaceniu okupu ofiary mogą nigdy nie otrzymać klucza do pracy.

Oprogramowanie ransomware przekształciło się w model typu cyberprzestępczość jako usługa, znany jako Ransomware-as-a-Service (RaaS), który poszerzył ich zasięg. To nowe podejście pozwala programistom ransomware dzierżawić narzędzia ransomware podmiotom stowarzyszonym, co prowadzi do większej liczby ataków.

Co roku pojawiało się coraz więcej grup ransomware — z których każda ma odmienną taktykę, cele i wpływy. Poniżej znajduje się 15 przykładów ransomware, które podkreślają różnorodność i ewolucję tego trwałego zagrożenia cybernetycznego

RansomHub

RansomHub to grupa Ransomware-as-a-Service (RaaS), która została po raz pierwszy wykryta w lutym 2024 r. i szybko zyskała rozgłos dzięki swojej strategii polowania na dużą zwierzynę, atakując duże przedsiębiorstwa, które są bardziej skłonne do płacenia znacznych okupów. Wyśledzony przez Trend Micro jako Water Bakunawa, RansomHub został zaobserwowany jako wykorzystujący luki w zabezpieczeniach kopii zapasowych w chmurze i źle skonfigurowanych instancjach Amazon S3, wykorzystując zaufanie między dostawcami a klientami w celu wzmocnienia swojej taktyki wymuszeń.

Rhysida

Rhysida to grupa ransomware, która wyszła na jaw na początku 2023 roku, stosując taktykę podwójnego wymuszenia, zarówno szyfrując dane ofiar, jak i grożąc ich opublikowaniem, chyba że żądanie okupu zostanie zapłacone w Bitcoinach. Podszywają się pod zespół ds. cyberbezpieczeństwa, który pomaga ofiarom, podkreślając słabe strony sieci i systemów. Wykorzystują ataki phishingowe, aby uzyskać początkowy dostęp do sygnałów nawigacyjnych Cobalt Strike w przypadku ruchu lateralnego w zainfekowanych maszynach przed wdrożeniem oprogramowania ransomware.

Figure 1: The RansomHub ransomware observed infection chain

Rysunek 1: Obserwowany łańcuch infekcji ransomware RansomHub

Akira

Akira pojawiła się na początku 2023 roku i szybko stała się jedną z najsłynniejszych rodzin ransomware. Akira wykorzystuje podwójną taktykę wymuszeń, model dostarczania ransomware jako usługi (RaaS) i niekonwencjonalne opcje płatności — podejście, które przyczyniło się do jej sukcesu operacyjnego. Akira słynie z żądania dużych okupów, których wartość waha się od 200 000 USD do ponad 4 milionów USD.

WannaCry

W maju 2017 r. atak ransomware WannaCry wykorzystał lukę w zabezpieczeniach systemu Microsoft Windows, która zainfekowała ponad 200 000 systemów w ponad 150 krajach. Pliki zaszyfrowane przez złośliwe oprogramowanie i zażądały okupu w Bitcoinach w celu odszyfrowania kluczy. Jedną z największych ofiar ataku WannaCry była brytyjska służba zdrowia (NHS) z maksymalnie 70 000 zainfekowanych urządzeń i około 19 000 odwołanych wizyt lub procedur medycznych.

Figure 2. Infection diagram

Rysunek 2: Schemat infekcji

Clop

Clop ransomware czasami nazywany Cl0p jest aktywny od 2019 r. i słynie z wielopoziomowych taktyk wymuszeń i prestiżowych ataków, które w latach 2019–2021 wymusiły ponad 500 milionów dolarów. Firma Clop wykorzystała również luki w zabezpieczeniach powszechnie używanego oprogramowania, takiego jak Accellion's File Transfer Appliance, aby zmaksymalizować jego zasięg.

8Base

8Base to grupa ransomware podszywająca się pod testerów penetracyjnych i atakująca głównie małe firmy. testerów penetracyjnych i atakująca głównie małe firmy. Stosują strategię podwójnego wyłudzania, szyfrując dane i grożąc ujawnieniem wrażliwych informacji, chyba że ofiary zapłacą okup. 8Base stosuje taktykę „name-and-shame” i twierdzi, że atakuje wyłącznie organizacje, które zaniedbały prywatność danych, dążąc do zaszkodzenia reputacji swoich ofiar poprzez ujawnienie poufnych informacji.

Trigona

Grupa  ransomware Trigona szybko ewoluowała, wydając wiele wersji o różnych możliwościach, w tym argumenty wiersza poleceń do niestandardowego szyfrowania. Agresywnie reklamowali wysokie udziały w przychodach w wysokości od 20% do 50% dla jednostek stowarzyszonych, co wskazuje na lukratywną działalność. Jednak w październiku 2023 r. ich działania zostały nagle zakończone, kiedy miejsce wycieku zostało zlikwidowane, przez co ich stan operacyjny był niepewny.

Figure 3. Trigona ransomware’s infection chain

Rysunek 3: Łańcuch infekcji oprogramowania ransomware Trigona

LockBit

LockBit to znana grupa ransomware działająca w modelu Ransomware-as-a-Service (RaaS). Wydano wiele wersji, w tym LockBit 2.0 i 3.0, wprowadzając funkcje takie jak taktyki podwójnego wymuszania i niestandardowe metody szyfrowania. W lutym 2024 r. Operation Cronos, koordynowane działania międzynarodowych organów ścigania, znacząco zakłóciły działalność LockBit, przejmując ich infrastrukturę i aresztując kluczowych członków. Pomimo tych niepowodzeń, LockBit pozostaje znaczącym zagrożeniem w środowisku ransomware.

BlackCat

BlackCat, znany również pod nazwą ALPHV lub AlphaVM, to zaawansowana grupa ransomware działająca na modelu Ransomware-as-a-Service (RaaS) od końca 2021 r. Dotarli do różnych branż, w tym finansów i usług profesjonalnych, i w Stanach Zjednoczonych padli znaczna liczba ofiar. BlackCat wykorzystuje zaawansowane techniki, takie jak faworyzowanie i wykorzystywanie luk w zabezpieczeniach, takich jak Log4J, w celu uzyskania wstępnego dostępu. Są oni również znani ze swojej publicznie dostępnej strony z wyciekami danych, która wywiera presję na ofiary, aby spełniły żądania okupu.

Ryuk Ransomware

Ryuk jest wariantem ransomware powiązanym z grupą cyberprzestępców, znaną jako Wizard Spider. W 2019 r. Ryuk zażądał okupów o wartości nawet 12,5 mln USD i był odpowiedzialny za niektóre z największych żądań okupu w tym roku, w tym 5,3 mln USD i 9,9 mln USD. Jej ofiary obejmowały różne sektory, w tym rząd, opiekę zdrowotną i media. Grupa jest również powiązana z innymi złośliwymi programami, takimi jak TrickBot i Emotet, aby ułatwić początkowe naruszenie bezpieczeństwa systemu.

Source: Malwarebytes

Źródło: Malwarebytes

Black Basta

Black Basta to grupa ransomware działająca jako ransomware-as-a-service (RaaS) i szybko zyskała na znaczeniu w krajobrazie ransomware, atakując wiele branż i infrastrukturę krytyczną na całym świecie. Zaobserwowano, że grupa wykorzystuje luki w zabezpieczeniach, takie jak QakBot, Brute Ratel i Cobalt Strike, aby infiltrować sieci i eksfiltrować wrażliwe dane.

Royal

Royal, grupa ransomware działająca od początku 2022 roku, szybko zyskała rozgłos dzięki agresywnej taktyce i wysokim żądaniom okupu, wahającym się od 250 000 do ponad 2 milionów dolarów. Firma Royal stosuje metody podwójnego wymuszenia, szyfrując i usuwając dane, a także rozszerzyła swoją działalność na systemy oparte na systemie Linux, w tym serwery ESXi. Ich ofiary działają w różnych sektorach, a ich koncentracja w Ameryce Północnej jest znacząca.

Figure 5. Royal ransomware’s attack flow

Rysunek 5: Przebieg ataku ransomware Royal

Water Ouroboros

Water Ouroborosktóry pojawił się w październiku 2023 r., działa jako grupa Ransomware-as-a-Service (RaaS), rzekomo ewoluując z ransomware Hive po jego zakłóceniu przez FBI w styczniu 2023 roku. Koncentrują się bardziej na kradzieży danych niż na szyfrowaniu, wykorzystywaniu luk w zabezpieczeniach, dumpingu poświadczeń i wykorzystaniu zaawansowanego złośliwego oprogramowania zapisanego w językach takich jak Rust. Ich głównymi celami są Stany Zjednoczone, Kanada, Wielka Brytania, Francja, Niemcy i Włochy.

Hive

Hive to grupa Ransomware-as-a-Service (RaaS), która pojawiła się w 2021 r., skierowana do różnych branż na całym świecie, w tym opieki zdrowotnej, finansów i produkcji. Stosują taktyki podwójnego wyłudzania, szyfrując dane i grożąc ujawnieniem informacji wrażliwych, chyba że zostanie zapłacony okup. W styczniu 2023 r. FBI zakłóciła działalność Hive, ale grupa nadal działa pod różnymi aliasami.

Trend Micro Ransomware Protection

W ubiegłym roku 83% organizacji doświadczyło wielu naruszeń, z których każde kosztowało 4,4 miliona dolarów, podczas gdy zmniejszenie narażenia na ryzyko przyniosło średnie oszczędności w wysokości 1,3 miliona dolarów.

Cyber Risk Exposure Management, część naszej platformy cyberbezpieczeństwa dla przedsiębiorstw Trend Vision One™, radykalnie zmniejsza ryzyko cybernetyczne dzięki ciągłemu wykrywaniu, ocenom w czasie rzeczywistym i zautomatyzowanemu łagodzeniu skutków w środowiskach chmurowych, hybrydowych lub lokalnych.

Related Research

Related Article