Izsiljevalska programska oprema je pomemben vektor groženj, ki podjetja, korporacije in upravljavce infrastrukture stane milijarde dolarjev letno. Za temi grožnjami se skrivajo profesionalne združbe izsiljevalske programske opreme, ki ustvarjajo in distribuirajo zlonamerno programsko opremo, ki omogoča napade.
Nekatere od teh skupin neposredno napadajo žrtve, medtem ko druge izvajajo priljubljen model Ransomware-as-a-Service (RaaS), ki podružnicam omogoča izsiljevanje določenih organizacij.
Ker grožnja izsiljevalske programske opreme nenehno narašča, je poznavanje sovražnika in njegovega delovanja edini način, da ostanete v prednosti. Torej, tukaj je seznam petih najsmrtonosnejših skupin izsiljevalskih programov, ki motijo krajino kibernetske varnosti.
1. REvil
Skupina izsiljevalske programske opreme REvil, imenovana Sodinokibi, ima sedež v Rusiji izsiljevalska programska oprema kot storitev (RaaS) operacijo, ki se je prvič pojavila aprila 2019. Velja za eno najbolj neusmiljenih skupin izsiljevalskih programov s povezavami do Ruske zvezne agencije (FSB).
Skupina je hitro pritegnila pozornost strokovnjakov za kibernetsko varnost zaradi svoje tehnične sposobnosti in drznosti, da gre za visoko odmevne cilje. Leto 2021 je bilo za skupino najdonosnejše, saj je ciljala na več multinacionalnih podjetij in povzročila motnje v več panogah.
Glavne žrtve
marca 2021 REvil je napadel korporacijo za elektroniko in strojno opremo Acer in ogrozil njegove strežnike. Napadalci so zahtevali 50 milijonov dolarjev za ključ za dešifriranje in zagrozili, da bodo odkupnino povečali na 100 milijonov dolarjev, če podjetje ne bo izpolnilo zahtev skupine.
Mesec dni kasneje je skupina izvedla še en odmeven napad na Applovega dobavitelja Quanta Computers. Poskušalo je izsiljevati Quanta in Apple, vendar nobeno podjetje ni plačalo zahtevane odkupnine v višini 50 milijonov dolarjev.
Skupina izsiljevalske programske opreme REvil je nadaljevala s svojim vdorom in ciljala na JBS Foods, Invenergy, Kaseya in več drugih podjetij. JBS Foods je bil prisiljen začasno ustaviti svoje dejavnosti in plačal približno 11 milijonov dolarjev odkupnine v bitcoinih za nadaljevanje delovanja.
The Kaseya napad pritegnilo nekaj neželene pozornosti skupini, saj je neposredno vplivalo na več kot 1500 podjetij po vsem svetu. Po nekaj diplomatskih pritiskih so ruske oblasti januarja 2022 aretirale več članov skupine in zasegle premoženje v vrednosti milijonov dolarjev. Toda ta motnja je bila kratkotrajna Združba izsiljevalske programske opreme REvil je spet začela delovati od aprila 2022.
2. Conti
Conti je še ena zloglasna združba z izsiljevalsko programsko opremo, ki polni naslovnice od konca leta 2018. Uporablja metoda dvojnega izsiljevanja, kar pomeni, da skupina zadrži ključ za dešifriranje in grozi z uhajanjem občutljivih podatkov, če odkupnina ne bo plačana. Za objavo ukradenih podatkov ima celo spletno stran Conti News, ki razkriva informacije.
Conti se od drugih skupin izsiljevalske programske opreme razlikuje po pomanjkanju etičnih omejitev za svoje tarče. Izvedla je več napadov v izobraževalnem in zdravstvenem sektorju ter zahtevala milijone dolarjev odkupnine.
Glavne žrtve
Skupina izsiljevalskih programov Conti ima dolgo zgodovino ciljanja na kritične javne infrastrukture, kot so zdravstvo, energija, IT in kmetijstvo. Decembra 2021 je skupina poročala, da je ogrozila indonezijsko centralno banko in ukradla občutljive podatke v višini 13,88 GB.
Februarja 2022 je Conti napadel mednarodnega terminalskega operaterja SEA-invest. Podjetje upravlja 24 morskih pristanišč po Evropi in Afriki in je specializirano za pretovor suhega razsutega tovora, sadja in hrane, tekočega razsutega tovora (nafta in plin) in kontejnerjev. Napad je prizadel vseh 24 pristanišč in povzročil znatne motnje.
Conti je aprila ogrozil tudi javne šole okrožja Broward in zahteval 40 milijonov dolarjev odkupnine. Skupina je na svojem blogu objavila ukradene dokumente, potem ko je okrožje zavrnilo plačilo odkupnine.
Pred kratkim je moral kostariški predsednik razglasiti izredne razmere po Contijevih napadih na več vladnih agencij.
3. Temna stran
Skupina izsiljevalske programske opreme DarkSide sledi modelu RaaS in cilja na velika podjetja za izsiljevanje velikih količin denarja. To naredi tako, da pridobi dostop do omrežja podjetja, običajno z lažnim predstavljanjem ali grobo silo, in šifrira vse datoteke v omrežju.
Obstaja več teorij o izvoru skupine izsiljevalskih programov DarkSide. Nekateri analitiki menijo, da ima sedež v vzhodni Evropi, nekje v Ukrajini ali Rusiji. Drugi verjamejo, da ima skupina franšize v več državah, vključno z Iranom in Poljsko.
Glavne žrtve
Skupina DarkSide zahteva velike odkupnine, vendar trdi, da ima kodeks ravnanja. Skupina trdi, da nikoli ne cilja na šole, bolnišnice, vladne ustanove in kakršno koli infrastrukturo, ki vpliva na javnost.
Vendar pa je maja 2021 DarkSide izvedel Napad na kolonialni plinovod in zahteval 5 milijonov dolarjev odkupnine. To je bil največji kibernetski napad na naftno infrastrukturo v zgodovini ZDA in je motil oskrbo z bencinom in letalskim gorivom v 17 državah.
Incident je sprožil pogovore o varnosti kritične infrastrukture in o tem, kako morajo biti vlade in podjetja bolj prizadevni pri njihovi zaščiti.
Po napadu je skupina DarkSide poskušala oprati svoje ime tako, da je za napad okrivila podružnice tretjih oseb. Vendar pa glede na The Washington Post, se je skupina po naraščajočem pritisku iz Združenih držav odločila zapreti svoje delovanje.
4. DoppelPaymer
Izsiljevalska programska oprema DoppelPaymer je naslednica izsiljevalske programske opreme BitPaymer, ki se je prvič pojavila aprila 2019. Uporablja nenavadno metodo klicanja žrtev in zahtevanja odkupnine v bitcoinih.
DoppelPaymer trdi, da ima sedež v Severni Koreji in sledi modelu izsiljevalske programske opreme dvojnega izsiljevanja. Dejavnost skupine je upadla tedne po napadu na Colonial Pipeline, vendar analitiki menijo, da se je preimenovala v skupino Grief.
Glavne žrtve
DopplePaymer pogosto cilja na naftna podjetja, proizvajalce avtomobilov in kritične industrije, kot so zdravstvo, izobraževanje in službe za nujne primere. To je prva izsiljevalska programska oprema, ki je povzročila smrt bolnika v Nemčiji, potem ko osebje nujne pomoči ni moglo komunicirati z bolnišnico.
Skupina je prišla na naslovnice, ko je objavila podatke o volivcih iz okrožja Hall v Georgii. Lani je prav tako ogrozil sisteme za stranke Kia Motors America in ukradel občutljive podatke. Skupina je zahtevala 404 bitcoine odkupnine, kar je približno ustrezalo takratnim 20 milijonom dolarjev.
5. LockBit
LockBit je bil v zadnjem času ena najvidnejših združb izsiljevalske programske opreme, zahvaljujoč zatonu drugih skupin. Od svojega prvega nastopa leta 2019 je LockBit zabeležil izjemno rast in močno razvil svojo taktiko.
LockBit je sprva začel kot skromna skupina, vendar je postal priljubljen z uvedbo LockBit 2.0 konec leta 2021. Skupina sledi modelu RaaS in za izsiljevanje žrtev uporablja taktiko dvojnega izsiljevanja.
Glavne žrtve
LockBit je trenutno vplivna skupina izsiljevalske programske opreme, saj maja 2022 predstavlja več kot 40 odstotkov vseh napadov z izsiljevalsko programsko opremo. Napada organizacije v ZDA, na Kitajskem, v Indiji in Evropi.
V začetku tega leta se je LockBit lotil Thales Group, francoske elektronske multinacionalke, in zagrozil z uhajanjem občutljivih podatkov, če podjetje ne bo izpolnilo zahtev skupine po odkupnini.
Prav tako je ogrozil francosko ministrstvo za pravosodje in šifriral njihove datoteke. Skupina zdaj trdi, da je kršila italijansko davčno agencijo (L'Agenzia delle Entrate) in ukradel 100 GB podatkov.
Zaščita pred napadi izsiljevalske programske opreme
Izsiljevalska programska oprema je še naprej uspešna industrija črnega trga, ki vsako leto ustvari milijarde dolarjev prihodkov za te zloglasne tolpe. Glede na finančne koristi in vse večjo razpoložljivost modela RaaS se bodo grožnje samo še povečale.
Kot pri vsaki zlonamerni programski opremi, sta previdnost in uporaba ustrezne varnostne programske opreme koraka v pravo smer za boj proti izsiljevalski programski opremi. Če še niste pripravljeni investirati v prvovrstno varnostno orodje, lahko uporabite vgrajena orodja za zaščito pred izsiljevalsko programsko opremo sistema Windows, da zaščitite svoj računalnik.
