Рансомваре је значајан вектор претње, који компаније, корпорације и инфраструктурне оператере кошта милијарде долара годишње. Иза ових претњи крију се професионалне банде рансомвера које креирају и дистрибуирају злонамерни софтвер који чини нападе могућим.
Неке од ових група директно нападају жртве, док друге користе популарни модел Рансомваре-ас-а-Сервице (РааС) који омогућава филијалама да изнуде одређене организације.
С обзиром да претња рансомвера стално расте, познавање непријатеља и начина на који они функционишу је једини начин да останете испред. Дакле, ево листе пет најсмртоноснијих група рансомвера које ремете пејзаж сајбер безбедности.
1. РЕвил
РЕвил рансомваре група, позната као Содинокиби, је руска рансомваре-ас-а-сервице (РааС) операција која се први пут појавила у априлу 2019. Сматра се једном од најокрутнијих група за рансомвер са везама са Руском агенцијом за федералну службу (ФСБ).
Група је брзо привукла пажњу професионалаца за сајбер безбедност због свог техничког умећа и смелости да се ухвати за мете високог профила. 2021. је била најпрофитабилнија година за групу јер је циљала више мултинационалних предузећа и пореметила неколико индустрија.
Главне жртве
У марту 2021. РЕвил је напао електронску и хардверску корпорацију Ацер и компромитовао његове сервере. Нападачи су тражили 50 милиона долара за кључ за дешифровање и запретили да ће повећати откупнину на 100 милиона долара ако компанија не испуни захтеве групе.
Месец дана касније, група је извела још један напад високог профила на Аппле добављача, Куанта Цомпутерс. Покушала је да уцени и Куанта и Аппле, али ниједна компанија није платила тражених 50 милиона долара откупа.
РЕвил група рансомваре-а наставила је са хакерским походом и циљала на ЈБС Фоодс, Инвенерги, Касеиа и неколико других предузећа. ЈБС Фоодс је био приморан да привремено затвори своје операције и платио је процењених 11 милиона долара откупнине у Битцоин-у да би наставио са радом.
Тхе Касеиа напад донео је неку нежељену пажњу групи јер је директно утицао на више од 1.500 предузећа широм света. После извесног дипломатског притиска, руске власти су у јануару 2022. ухапсиле неколико чланова групе и заплениле имовину вредну милионе долара. Али овај поремећај је био краткотрајан као РЕвил рансомваре банда је поново покренута и ради од априла 2022.
2. Цонти
Цонти је још једна злогласна банда рансомваре-а која је на насловницама од краја 2018. Користи се метода двоструке изнуде, што значи да група задржава кључ за дешифровање и прети да ће процурити осетљиве податке ако се откупнина не плати. Чак води и веб локацију за цурење података, Цонти Невс, да објави украдене податке.
Оно по чему се Цонти разликује од других група рансомвера је недостатак етичких ограничења за његове мете. Извела је неколико напада у образовном и здравственом сектору и тражила милионе долара за откуп.
Главне жртве
Група за рансомваре Цонти има дугу историју циљања на критичне јавне инфраструктуре као што су здравство, енергија, ИТ и пољопривреда. У децембру 2021. група је известила да је компромитовала централну банку Индонезије и украла осетљиве податке у износу од 13,88 ГБ.
У фебруару 2022, Цонти је напао међународног оператера терминала, СЕА-инвест. Компанија управља са 24 морске луке широм Европе и Африке и специјализована је за руковање сувим расутим теретом, воћем и храном, течним расутим теретом (нафта и гас) и контејнерима. Напад је захватио све 24 луке и изазвао значајне поремећаје.
Конти је такође компромитовао јавне школе округа Бровард у априлу и тражио 40 милиона долара за откуп. Група је процурила украдена документа на свој блог након што је округ одбио да плати откуп.
Недавно је костарикански председник морао да прогласи ванредно стање након напада Контија на неколико владиних агенција.
3. Тамна страна
Група ДаркСиде рансомваре-а прати РааС модел и циља на велике компаније да изнуде велике количине новца. То ради тако што добија приступ мрежи компаније, обично путем пхисхинга или грубе силе, и шифрује све датотеке на мрежи.
Постоји неколико теорија о пореклу групе ДаркСиде рансомваре. Неки аналитичари мисле да се налази у источној Европи, негде у Украјини или Русији. Други верују да група има франшизе у више земаља, укључујући Иран и Пољску.
Главне жртве
Група ДаркСиде поставља огромне захтеве за откупнином, али тврди да има кодекс понашања. Група тврди да никада не циља на школе, болнице, владине институције и било коју инфраструктуру која утиче на јавност.
Међутим, у мају 2021. ДаркСиде је извршио Напад колонијалног гасовода и тражио откупнину од 5 милиона долара. Био је то највећи сајбер напад на нафтну инфраструктуру у историји САД и пореметио је снабдевање бензином и млазним горивом у 17 држава.
Инцидент је изазвао разговоре о безбедности критичне инфраструктуре ио томе како владе и компаније морају да буду марљивије у њиховој заштити.
Након напада, ДаркСиде група је покушала да обрише своје име тако што је за напад окривила треће стране. Међутим, према Тхе Васхингтон Пост, група је одлучила да затвори своје операције након све већег притиска из Сједињених Држава.
4. ДоппелПаимер
ДоппелПаимер рансомваре је наследник БитПаимер рансомваре-а који се први пут појавио у априлу 2019. Користи необичан метод позивања жртава и захтева откуп у биткоинима.
ДоппелПаимер тврди да се налази у Северној Кореји и да прати модел двоструког изнуђивања рансомваре-а. Активност групе је опала недељама након напада на Цолониал Пипелине, али аналитичари верују да је преименована у групу Гриеф.
Главне жртве
ДопплеПаимер често циља нафтне компаније, произвођаче аутомобила и кључне индустрије као што су здравство, образовање и хитне службе. То је први рансомваре који је изазвао смрт пацијента у Немачкој након што особље хитне службе није могло да комуницира са болницом.
Група је доспела на насловне стране када је објавила информације о гласачима из округа Хол, Џорџија. Прошле године је такође компромитовао системе Киа Моторс Америца окренуте купцима и украо осетљиве податке. Група је тражила 404 биткоина као откупнину, што је отприлике тада износило 20 милиона долара.
5. ЛоцкБит
ЛоцкБит је у последње време једна од најистакнутијих банди рансомваре-а, захваљујући опадању других група. Од свог првог појављивања 2019. године, ЛоцкБит је забележио невиђени раст и значајно је еволуирао своју тактику.
ЛоцкБит је у почетку почео као група ниског профила, али је стекао популарност лансирањем ЛоцкБит 2.0 крајем 2021. Група следи модел РааС-а и користи тактику двоструке изнуде како би уцењивала жртве.
Главне жртве
ЛоцкБит је тренутно моћна група рансомвера, која чини преко 40 процената свих напада рансомвера у мају 2022. Напада организације у САД, Кини, Индији и Европи.
Раније ове године, ЛоцкБит је циљао Тхалес Гроуп, француску мултинационалну електронску компанију, и запретио да ће процурити осетљиве податке ако компанија не испуни захтеве групе за откупнином.
Такође је компромитовао француско министарство правде и шифровао њихове фајлове. Група сада тврди да је прекршила италијанску пореску агенцију (Л'Агензиа делле Ентрате) и украдено 100 ГБ података.
Заштита од напада рансомвера
Рансомваре наставља да буде напредна индустрија црног тржишта, која сваке године генерише милијарде долара прихода за ове злогласне банде. С обзиром на финансијске користи и све већу доступност РааС модела, претње ће се само повећати.
Као и код сваког малвера, опрез и коришћење одговарајућег безбедносног софтвера су кораци у правом смеру за борбу против рансомвера. Ако још увек нисте спремни да инвестирате у врхунски безбедносни алат, можете да користите уграђене Виндовс алатке за заштиту од рансомваре-а да бисте заштитили свој рачунар.