Программы-вымогатели — это тип вредоносного ПО, которое шифрует данные жертвы и требует выкуп в обмен на ключ расшифровки.
Содержание
Сегодня охват программ-вымогателей активно расширяется, поскольку они распространяются по модели «как услуга» (Ransomware-as-a-Service, RaaS). Новый подход позволяет разработчикам предоставлять партнерам инструменты для вымогательства, поэтому атак становится все больше.
Каждый год появляются новые группы программ-вымогателей — с разными тактиками, целями и последствиями. Ниже описано 15 примеров программ-вымогателей, которые подчеркивают разнообразие и эволюцию этой постоянной киберугрозы
RansomHub
RansomHub предоставляется по модели «программы-вымогатели как услуга» (RaaS). Впервые обнаружена в феврале 2024 года. Она рассчитана на «охоту на крупного зверя», поскольку крупные предприятия с большей вероятностью платят большой выкуп. RansomHub принадлежит отслеживаемой Trend Micro группировке Water Bakunawa. Эта программа-вымогатель эксплуатирует уязвимости в резервных копиях облачных хранилищ и неправильно настроенные инстансы Amazon S3, пользуясь доверием между поставщиками и клиентами для оттачивания тактик вымогательства.
Rhysida
Rhysida — это группа программ-вымогателей, замеченная в начале 2023 года. Злоумышленники применяют тактику двойного вымогательства, с одной стороны шифруя данные жертв, а с другой — угрожая опубликовать их, если жертва не выплатит выкуп в биткойнах. Они выдают себя за команду по кибербезопасности и предлагают жертвам помощь с обнаруженными слабыми местами в их сетях и системах. Они применяют фишинговые атаки для получения первоначального доступа и используют маяки Cobalt Strike для горизонтального перемещения по скомпрометированным устройствам перед развертыванием программ-вымогателей.
Рис. 1: цепочка заражения программы-вымогателя RansomHub
Akira
Появившись в начале 2023 года, Akira быстро зарекомендовала себя как одна из самых известных групп программ-вымогателей. Akira использует тактику двойного вымогательства, модель RaaS и нетрадиционные способы оплаты, и этот подход приносит свои плоды. Известно, что Akira требует крупный выкуп: от 200 тысяч до 4 млн долларов США.
WannaCry
В мае 2017 года атака с использованием программы-вымогателя WannaCry, используя уязвимость Microsoft Windows, заразила более 200 000 систем более чем в 150 странах. Вредоносные программы шифровали файлы и требовали выплаты выкупа в биткойнах в обмен на ключи расшифровки. Одной из крупнейших жертв атаки WannaCry стала Национальная служба здравоохранения Великобритании (NHS) — было заражено до 70 000 устройств и отменено около 19 000 медицинских приемов и процедур.
Рис. 2: схема заражения
Clop
Программа-вымогатель Clop (альтернативное написание — Cl0p) действует с 2019 года и славится многоуровневой тактикой вымогательства и крупными атаками. В период с 2019 по 2021 год компании заплатили выкуп на сумму более 500 млн долларов США. Clop также использует уязвимости в популярном программном обеспечении, таком как Accellion File Transfer Appliance, чтобы максимально увеличить охват.
8Base
8Base — это группировка вымогателей, которая выдает себя за специалистов по тестированию на проникновение и нацеливается, в основном, на малый бизнес. Они используют стратегию двойного вымогательства — шифруют данные и угрожают раскрыть конфиденциальную информацию, если жертвы не платят выкуп. 8Base рассчитывают на то, что компания захочет избежать публичного позора. Злоумышленники утверждают, что атакуют только организации, которые пренебрегают конфиденциальностью, и стараются навредить репутации своих жертв путем раскрытия конфиденциальной информации.
Trigona
Штамм программ-вымогателей Trigona быстро эволюционировал, выпуская разные версии с разными возможностями, включая аргументы командной строки для настройки шифрования. Злоумышленники агрессивно рекламировали высокий доход от 20% до 50% для партнеров, что указывает на высокую прибыльность. Тем не менее, их деятельность резко прекратилась в октябре 2023 года, когда их сайт с утечками был удален. Их текущий статус неизвестен.
Рис. 3: цепочка заражения Trigona
LockBit
LockBit — известная группировка, работающая по модели RaaS. Они выпустили несколько версий, включая LockBit 2.0 и 3.0, с такими функциями, как тактики двойного вымогательства и кастомные методы шифрования. В феврале 2024 года скоординированная международная операция правоохранительных органов Cronos нарушила деятельность группировки LockBit, захватив ее инфраструктуру и арестовав ключевых членов. Несмотря на это, LockBit остается серьезной угрозой.
BlackCat
BlackCat, или ALPHV, это опасное семейство программ-вымогателей, работающее по модели RaaS с конца 2021 года. Они атакуют различные отрасли, включая финансовые и профессиональные услуги, при этом значительное количество жертв находится в США. Для получения начального доступа BlackCat использует передовые методы, такие как вредоносная реклама и эксплуатация уязвимостей, например Log4J. Они также известны тем, что публикуют украденные данные на общедоступном сайте, и это служит дополнительным рычагом давления на жертв, не желающих платить выкуп.
Программа-вымогатель Ryuk
Ryuk — это вариант программы-вымогателя, связанный с группировкой киберпреступников, называющей себя Wizard Spider. В 2019 году с его помощью злоумышленники запрашивали выкупы до 12,5 млн долларов США, и в том году Ruyk был в списке угроз с самыми большими суммами, включая 5,3 млн и 9,9 млн долларов США. Жертвы работали в различных секторах, включая правительство, здравоохранение и СМИ. Этот штамм использует другое вредоносное ПО, например TrickBot и Emotet, для первичной компрометации системы.
Источник: Malwarebytes
Black Basta
Black Basta — это семейство программ-вымогателей по модели (RaaS), которое быстро завоевало свое место на рынке благодаря нацеленности на широкий спектр отраслей и критически важных инфраструктур по всему миру. Для проникновения в сети и кражи чувствительных данных используются такие уязвимости, как QakBot, Brute Ratel и Cobalt Strike.
Royal
Royal, группа программ-вымогателей, действующая с начала 2022 года, быстро завоевала известность своей агрессивной тактикой и большими суммами выкупов —от 250 тысяч до 2 миллионов долларов США. Royal использует методы двойного вымогательства, шифруя и похищая данные, и атакует даже системы на базе Linux, включая серверы ESXi. Их жертвы работают в различных секторах, преимущественно в Северной Америке.
Рис. 5: схема атаки программы-вымогателя Royal
Water Ouroboros
Группа Water Ouroboros, появившаяся в октябре 2023 года, работает по модели RaaS. Считается, что это продолжатели группировки Hive, деятельность которой была остановлена ФБР в январе 2023 года. Эта группа сосредоточена скорее на краже данных, чем на шифровании. Для этого злоумышленники используют уязвимости, раскрытые пароли и продвинутые вредоносные программы, написанные на таких языках, как Rust. Их основными целями являются США, Канада, Великобритания, Франция, Германия и Италия.
Hive
Hive — это группа RaaS, появившаяся в 2021 году и ориентированная на различные отрасли по всему миру, включая здравоохранение, финансы и производство. Злоумышленники используют стратегию двойного вымогательства — шифруют данные и угрожают раскрыть чувствительную информацию, если жертвы не платят выкуп. В январе 2023 года ФБР прервало деятельность Hive, но группировка продолжает работать под разными псевдонимами.
Защита от программ-вымогателей — Trend Micro
В прошлом году 83% организаций столкнулись с многочисленными случаями компрометации и утечки данных, из-за чего в среднем потеряли по 4,4 млн долларов, в то время как снижение подверженности риску позволило сократить затраты в среднем на 1,3 млн долларов.
Решение Cyber Risk Exposure Management, входящее в состав нашей корпоративной платформы кибербезопасности Trend Vision One™, значительно снижает киберриски благодаря непрерывному обнаружению, оценке в реальном времени и автоматизированному снижению рисков в облачных, гибридных и локальных средах.
На должности вице-президента по управлению продуктами в Trend Micro Джо Ли руководит глобальной стратегией и разработкой продуктов в сфере корпоративных решений для электронной почты и сетевой безопасности.