Программы-вымогатели представляют собой значительный вектор угроз, ежегодно обходящих предприятиям, корпорациям и операторам инфраструктуры миллиарды долларов. За этими угрозами стоят профессиональные банды вымогателей, создающие и распространяющие вредоносное ПО, которое делает возможными атаки.
Некоторые из этих групп атакуют жертв напрямую, в то время как другие используют популярную модель Ransomware-as-a-Service (RaaS), которая позволяет аффилированным лицам вымогать деньги у определенных организаций.
Поскольку угроза программ-вымогателей постоянно растет, знание врага и того, как он действует, — единственный способ оставаться впереди. Итак, вот список пяти самых смертоносных групп программ-вымогателей, нарушающих ландшафт кибербезопасности.
1. зло
Группа вымогателей REvil, также известная как Sodinokibi, — это российская Программа-вымогатель как услуга (RaaS) операция, которая впервые появилась в апреле 2019 года. Считается одной из самых безжалостных групп вымогателей со связями с Федеральным агентством по обслуживанию (ФСБ).
Группа быстро привлекла внимание специалистов по кибербезопасности своим техническим мастерством и смелостью преследовать высокопоставленные цели. 2021 год был самым прибыльным для группы, поскольку он нацелился на несколько многонациональных предприятий и нарушил работу нескольких отраслей.
Основные жертвы
В марте 2021 г. REvil атаковал корпорацию по производству электроники и оборудования Acer и взломал его серверы. Злоумышленники потребовали 50 миллионов долларов за ключ дешифрования и пригрозили увеличить выкуп до 100 миллионов долларов, если компания не выполнит требования группы.
Месяц спустя группа провела еще одну громкую атаку на поставщика Apple, компанию Quanta Computers. Он пытался шантажировать и Quanta, и Apple, но ни одна из компаний не заплатила требуемый выкуп в размере 50 миллионов долларов.
Группа вымогателей REvil продолжила свою хакерскую деятельность и нацелилась на JBS Foods, Invenergy, Kaseya и ряд других предприятий. JBS Foods была вынуждена временно прекратить свою деятельность и заплатила выкуп в размере около 11 миллионов долларов в биткойнах, чтобы возобновить работу.
Касея атака привлекли к группе нежелательное внимание, поскольку напрямую затронули более 1500 предприятий по всему миру. После некоторого дипломатического давления российские власти арестовали нескольких членов группировки в январе 2022 года и конфисковали активы на миллионы долларов. Но это нарушение было недолгим, так как Банда вымогателей REvil снова работает с апреля 2022 года.
2. Конти
Conti — еще одна печально известная банда вымогателей, появляющаяся в заголовках новостей с конца 2018 года. Он использует метод двойного вымогательства, что означает, что группа удерживает ключ дешифрования и угрожает утечкой конфиденциальных данных, если выкуп не будет выплачен. У него даже есть сайт утечки Conti News, на котором публикуются украденные данные.
Что отличает Conti от других групп вымогателей, так это отсутствие этических ограничений в отношении целей. Он провел несколько атак в сфере образования и здравоохранения и потребовал выкуп на миллионы долларов.
Основные жертвы
Группа программ-вымогателей Conti имеет долгую историю атак на критически важные общественные инфраструктуры, такие как здравоохранение, энергетика, ИТ и сельское хозяйство. В декабре 2021 года группа сообщила, что скомпрометировала центральный банк Индонезии и украла конфиденциальные данные на сумму 13,88 ГБ.
В феврале 2022 года Conti атаковала международного оператора терминалов SEA-invest. Компания управляет 24 морскими портами в Европе и Африке и специализируется на перевалке навалочных грузов, фруктов и продуктов питания, наливных грузов (нефть и газ) и контейнеров. Атака затронула все 24 порта и вызвала значительные сбои.
Конти также скомпрометировал государственные школы округа Броуард в апреле и потребовал выкуп в размере 40 миллионов долларов. Группа слила украденные документы в свой блог после того, как округ отказался платить выкуп.
Совсем недавно президенту Коста-Рики пришлось объявить чрезвычайное положение в стране после нападений Конти на несколько правительственных учреждений.
3. Темная сторона
Группа вымогателей DarkSide следует модели RaaS и нацелена на крупный бизнес для вымогательства больших сумм денег. Он делает это, получая доступ к сети компании, как правило, с помощью фишинга или грубой силы, и шифрует все файлы в сети.
Существует несколько теорий относительно происхождения группы вымогателей DarkSide. Некоторые аналитики считают, что он базируется в Восточной Европе, где-то на Украине или в России. Другие считают, что у группы есть франшизы в нескольких странах, включая Иран и Польшу.
Основные жертвы
Группа DarkSide требует огромных выкупов, но утверждает, что у них есть кодекс поведения. Группа утверждает, что она никогда не нацелена на школы, больницы, государственные учреждения и любую инфраструктуру, затрагивающую общественность.
Однако в мае 2021 года DarkSide провела Атака колониального трубопровода и потребовал выкуп в размере 5 миллионов долларов. Это была крупнейшая кибератака на нефтяную инфраструктуру в истории США, в результате которой были нарушены поставки бензина и авиакеросина в 17 штатах.
Инцидент вызвал разговоры о безопасности критической инфраструктуры и о том, что правительства и компании должны быть более усердными в ее защите.
После атаки группа DarkSide попыталась очистить свое имя, обвинив в атаке сторонние филиалы. Однако, согласно Вашингтон постгруппа решила свернуть свою деятельность после усиления давления со стороны США.
4. ДоппельПеймер
Программа-вымогатель DoppelPaymer является преемником программы-вымогателя BitPaymer, впервые появившейся в апреле 2019 года. Он использует необычный метод вызова жертв и требования выкупа в биткойнах.
DoppelPaymer утверждает, что базируется в Северной Корее и следует модели вымогателей с двойным вымогательством. Активность группы снизилась через несколько недель после нападения на Colonial Pipeline, но аналитики считают, что она переименовала себя в группу Grief.
Основные жертвы
DopplePaymer часто нацелен на нефтяные компании, автопроизводителей и критически важные отрасли, такие как здравоохранение, образование и службы экстренной помощи. Это первая программа-вымогатель, вызвавшая смерть пациента в Германии после того, как персонал службы экстренной помощи не смог связаться с больницей.
Группа попала в заголовки, когда опубликовала информацию об избирателях из округа Холл, штат Джорджия. В прошлом году он также скомпрометировал клиентские системы Kia Motors America и похитил конфиденциальные данные. Группа потребовала 404 биткойна в качестве выкупа, что на тот момент примерно равнялось 20 миллионам долларов.
5. ЛокБит
LockBit в последнее время был одной из самых известных банд вымогателей благодаря упадку других групп. С момента своего первого появления в 2019 году LockBit продемонстрировал беспрецедентный рост и значительно изменил свою тактику.
Изначально LockBit начиналась как малоизвестная банда, но приобрела популярность с запуском LockBit 2.0 в конце 2021 года. Группа следует модели RaaS и использует тактику двойного вымогательства для шантажа жертв.
Основные жертвы
LockBit в настоящее время является влиятельной группой программ-вымогателей, на которую приходится более 40 процентов всех атак программ-вымогателей в мае 2022 года. Он атакует организации в США, Китае, Индии и Европе.
Ранее в этом году LockBit нацелился на Thales Group, французскую транснациональную компанию по производству электроники, и пригрозил утечкой конфиденциальных данных, если компания не выполнит требования группы о выкупе.
Он также скомпрометировал французское министерство юстиции и зашифровал их файлы. Теперь группа утверждает, что нарушила правила итальянского налогового агентства (L'Agenzia delle Entrate) и украдены 100 ГБ данных.
Защита от атак программ-вымогателей
Программы-вымогатели продолжают оставаться процветающей отраслью черного рынка, ежегодно принося этим печально известным бандам миллиарды долларов дохода. Учитывая финансовые выгоды и растущую доступность модели RaaS, угрозы только возрастут.
Как и в случае с любым вредоносным ПО, проявлять бдительность и использовать соответствующее защитное программное обеспечение — это шаги в правильном направлении для борьбы с программами-вымогателями. Если вы еще не готовы инвестировать в инструмент безопасности премиум-класса, вы можете использовать встроенные в Windows средства защиты от программ-вымогателей, чтобы обезопасить свой компьютер.