A zsarolóvírus jelentős veszélyforrás, amely évente több milliárd dollárba kerül a vállalkozásoknak, a vállalatoknak és az infrastruktúra üzemeltetőinek. E fenyegetések mögött professzionális zsarolóprogram-bandák húzódnak, amelyek rosszindulatú programokat hoznak létre és terjesztenek, amelyek lehetővé teszik a támadásokat.
E csoportok némelyike közvetlenül támadja meg az áldozatokat, míg mások a népszerű Ransomware-as-a-Service (RaaS) modellt futtatják, amely lehetővé teszi a leányvállalatok számára, hogy bizonyos szervezeteket kicsikarjanak.
Mivel a ransomware veszélye folyamatosan növekszik, az ellenség ismerete és működése az egyetlen módja annak, hogy előrébb maradjunk. Íme tehát egy lista az öt leghalálosabb zsarolóprogram-csoportról, amelyek megzavarják a kiberbiztonsági környezetet.
1. REvil
A REvil ransomware csoport, más néven Sodinokibi egy oroszországi székhelyű ransomware-as-a-service (RaaS) művelet, amely először 2019 áprilisában jelent meg. Az egyik legkegyetlenebb zsarolóprogram-csoportnak tartják, amely az Orosz Szövetségi Szolgáltató Ügynökséghez (FSB) kapcsolódik.
A csoport gyorsan felkeltette a kiberbiztonsági szakemberek figyelmét technikai rátermettségével és azzal a merészséggel, hogy nagy horderejű célpontokat követett. 2021 volt a legjövedelmezőbb év a csoport számára, mivel több multinacionális vállalatot célzott meg, és több iparágat megzavart.
Főbb áldozatok
2021 márciusában A REvil megtámadta az Acer elektronikai és hardvervállalatot és kompromittálta a szervereit. A támadók 50 millió dollárt követeltek egy visszafejtő kulcsért, és azzal fenyegetőztek, hogy 100 millió dollárra emelik a váltságdíjat, ha a cég nem tesz eleget a csoport követeléseinek.
Egy hónappal később a csoport újabb nagy horderejű támadást hajtott végre az Apple beszállítója, a Quanta Computers ellen. A Quantát és az Apple-t is megpróbálta zsarolni, de egyik cég sem fizette ki a követelt 50 millió dolláros váltságdíjat.
A REvil ransomware csoport folytatta feltörését, és a JBS Foods, az Invenergy, a Kaseya és számos más üzletet célozta meg. A JBS Foods kénytelen volt ideiglenesen leállítani tevékenységét, és a becslések szerint 11 millió dolláros váltságdíjat fizetett Bitcoinban, hogy újraindítsa tevékenységét.
Az Kaseya támadás felhívta a figyelmet a csoportra, mivel világszerte több mint 1500 vállalkozást érintett közvetlenül. Némi diplomáciai nyomást követően az orosz hatóságok 2022 januárjában letartóztattak több csoporttagot, és több millió dollár értékű vagyontárgyakat foglaltak le. De ez a zavar rövid életű volt, mivel a A REvil ransomware banda újra elindult 2022 áprilisa óta.
2. Conti
A Conti egy másik hírhedt ransomware banda, amely 2018 vége óta szerepel a címlapokon. Használja a kettős zsarolási módszer, ami azt jelenti, hogy a csoport visszatartja a visszafejtő kulcsot, és érzékeny adatok kiszivárogtatásával fenyeget, ha nem fizetik ki a váltságdíjat. Még egy kiszivárogtatott webhelyet is üzemeltet, a Conti News-t az ellopott adatok közzétételére.
Ami a Conti-t különbözteti meg a többi ransomware csoporttól, az az etikai korlátozások hiánya a célpontjait illetően. Számos támadást hajtott végre az oktatási és egészségügyi szektorban, és több millió dollár váltságdíjat követelt.
Főbb áldozatok
A Conti ransomware csoport hosszú múltra tekint vissza az olyan kritikus állami infrastruktúrák megcélzásában, mint az egészségügy, az energia, az IT és a mezőgazdaság. 2021 decemberében a csoport arról számolt be, hogy feltörte Indonézia központi bankját, és 13,88 GB-nyi érzékeny adatot lopott el.
2022 februárjában Conti megtámadta a SEA-invest nemzetközi terminálüzemeltetőt. A cég 24 tengeri kikötőt üzemeltet Európában és Afrikában, és száraz ömlesztett áru, gyümölcs és élelmiszer, folyékony ömlesztett (olaj és gáz) és konténerek kezelésére specializálódott. A támadás mind a 24 portot érintett, és jelentős fennakadásokat okozott.
Conti áprilisban a Broward County Public Schools-ot is kompromittálta, és 40 millió dollár váltságdíjat követelt. A csoport ellopott dokumentumokat szivárogtatott ki a blogján, miután a kerület megtagadta a váltságdíj kifizetését.
Nemrég a Costa Rica-i elnöknek nemzeti szükségállapotot kellett kihirdetnie, miután Conti több kormányzati ügynökséget is megtámadtak.
3. Sötét oldal
A DarkSide ransomware csoport a RaaS modelljét követi, és nagy vállalkozásokat céloz meg, hogy nagy összegeket zsaroljanak ki. Ezt úgy teszi, hogy hozzáfér egy vállalat hálózatához, általában adathalászattal vagy brutális erőszakkal, és titkosítja a hálózaton található összes fájlt.
Számos elmélet létezik a DarkSide ransomware csoport eredetére vonatkozóan. Egyes elemzők szerint Kelet-Európában, valahol Ukrajnában vagy Oroszországban található. Mások úgy vélik, hogy a csoportnak több országban is van franchise, köztük Iránban és Lengyelországban.
Főbb áldozatok
A DarkSide csoport hatalmas váltságdíjat követel, de azt állítja, hogy van magatartási kódexe. A csoport azt állítja, hogy soha nem célozza meg az iskolákat, a kórházakat, a kormányzati intézményeket és a nyilvánosságot érintő infrastruktúrát.
2021 májusában azonban a DarkSide végrehajtotta a Colonial Pipeline támadás és 5 millió dollár váltságdíjat követelt. Ez volt az Egyesült Államok történetének legnagyobb kibertámadása az olajinfrastruktúra ellen, és 17 államban zavarta meg a benzin és a repülőgép-üzemanyag ellátását.
Az incidens beszélgetéseket váltott ki a létfontosságú infrastruktúrák biztonságáról, valamint arról, hogy a kormányoknak és a vállalatoknak nagyobb gondot kell fordítaniuk ezek védelmére.
A támadást követően a DarkSide csoport úgy próbálta tisztázni a nevét, hogy harmadik feleket hibáztatott a támadásért. Szerint azonban A Washington Post, a csoport úgy döntött, hogy leállítja tevékenységét, miután egyre nagyobb nyomást gyakorolt az Egyesült Államokból.
4. DoppelPaymer
A DoppelPaymer ransomware a BitPaymer ransomware utódja, amely először 2019 áprilisában jelent meg. Azt a szokatlan módszert alkalmazza, hogy áldozatokat hív, és váltságdíjat követel bitcoinban.
A DoppelPaymer azt állítja, hogy Észak-Koreában található, és a kettős zsaroló zsarolóvírus-modellt követi. A csoport tevékenysége hetekkel a Colonial Pipeline támadás után visszaesett, de az elemzők úgy vélik, hogy átkeresztelte magát Grief csoportra.
Főbb áldozatok
A DopplePaymer gyakran megcélozza az olajtársaságokat, az autógyártókat és a kritikus iparágakat, például az egészségügyet, az oktatást és a segélyszolgálatokat. Ez az első zsarolóprogram, amely egy beteg halálát okozta Németországban, miután a mentőszolgálat munkatársai nem tudtak kommunikálni a kórházzal.
A csoport az újságok címoldalára került, amikor a georgiai Hall megyéből szavazói információkat tett közzé. Tavaly a Kia Motors America vásárlóközönség-rendszereit is veszélyeztette, és érzékeny adatokat lopott el. A csoport 404 bitcoint követelt váltságdíjként, ami akkoriban nagyjából 20 millió dollárnak felelt meg.
5. LockBit
A LockBit az utóbbi időben az egyik legkiemelkedőbb ransomware banda, más csoportok hanyatlásának köszönhetően. 2019-es első megjelenése óta a LockBit példátlan növekedésen ment keresztül, és taktikáját jelentősen fejlesztette.
A LockBit kezdetben alacsony horderejű bandaként indult, de a LockBit 2.0 2021 végén való megjelenésével vált népszerűvé. A csoport a RaaS modelljét követi, és kettős zsarolási taktikát alkalmaz az áldozatok zsarolására.
Főbb áldozatok
A LockBit jelenleg egy hatásos zsarolóprogram-csoport, amely 2022 májusában az összes zsarolóprogram-támadások több mint 40 százalékát tette ki. Az Egyesült Államok, Kína, India és Európa szervezeteit támadja.
Az év elején a LockBit egy francia elektronikai multinacionális Thales Group-ot vette célba, és érzékeny adatok kiszivárogtatásával fenyegetőzött, ha a vállalat nem tesz eleget a csoport váltságdíj-követeléseinek.
Feltörte a francia igazságügyi minisztériumot is, és titkosította fájljaikat. A csoport most azt állítja, hogy megsértette az olasz adóhivatalt (L'Agenzia delle Entrate) és ellopott 100 GB adatot.
Védelem a Ransomware támadások ellen
A Ransomware továbbra is virágzó feketepiaci iparág, amely évente több milliárd dolláros bevételt generál ezeknek a hírhedt bandáknak. Tekintettel a pénzügyi előnyökre és a RaaS modell növekvő elérhetőségére, a fenyegetések csak növekedni fognak.
Mint minden rosszindulatú program esetében, az éberség és a megfelelő biztonsági szoftverek használata a helyes irányba tett lépések a zsarolóvírusok elleni küzdelemben. Ha még nem áll készen egy prémium biztonsági eszközbe fektetni, használhatja a Windows beépített ransomware védelmi eszközeit, hogy megőrizze számítógépe biztonságát.
