Atak ransomeware to poważne zagrożenie dla firm. W ciągu kilku minut utrudnia lub uniemożliwia dostęp do danych, ogranicza zyski i niszczy repotację. Obecnie jest to jedno z największych cyberzagrożeń. W minionym roku urosło o około 4 proc.
Ataki ransomware to poważne zagrożenie dla bezpieczeństwa przedsiębiorstw i organizacji. W roku 2023 nastąpił wzrost tego typu ataków oraz rozwój technik stosowanych przez przestępców.
Check Point Research przygotował dane, z których wynika, że w 2023 r. co tydzień średnio 1 na 34 organizacje na świecie doświadczyła próby ataku ransomware. To wzrost o 4 proc. w stosunku do roku poprzedniego.
Najaktywniejsze grupy ransomware w 2023 roku
Przybyło ataków ransomware i pojawiły się nowe grupy, które do tej metody się uciekają. Niektórzy stali się liderami, czyli najgroźniejszymi hakerami stosującymi ataki ransomware.
- Lockbit3 – grupa odpowiedzialna za około 24 proc. incydentów ransomware zgłoszonych od początku 2023 r. do czerwca 2023 r. Grupa aktywna jest od roku 2020. Wciąż udoskonala swoje metody ataku.
- MalasLocker – chociaż grupa pojawiła się dopiero w 2023 r. to już znalazła się w zestawieniu. Znana jest z ataków na rosyjskie podmioty. Nie jest to typowe dla grup ransomware.
- BlackCat – grupa pojawiła się po raz pierwszy w grudniu 2022 r. Szybko jednak awansowała do miana jednej z najbardziej niebezpiecznych grup ransomware. Znana z wykorzystywania wyrafinowanych technik jak ataki zero-day, wykorzystujące luki w programach i ich zabezpieczeniach.
- REvil – chociaż grupa zawiesiła swoją działalność w 2022 r., to w 2023 r. powróciła do aktywności. Atakuje głównie duże podmioty takie jak firmy ubezpieczeniowe czy dostawców usług IT.
- Conti – grupa aktywna od 2020 roku. Niezmiennie stanowi poważne zagrożenie. Atakuje różne branże, w tym sektor rządowy i infrastrukturę krytyczną.
- ALPHV ( związana z BlackCat) – grupa znana chociażby z użycia języka programowania rust. Sprawia on, że rozwikłanie ataków ransomware jest jescze bardziej skomplikowane. W 2023 r. grupa dokonała kilku znaczących naruszeń. Zgodnie z jej deklaracjami odpowiedzialna jest za ataki na systemy bezpieczeństwa lotnisk, rafinerii ropy naftowej i innych dostawców infrastruktury krytycznej.
- Clop Ransomware – jednak z najaktywniejszych grup w 2023 r. Przeprowadziła w ciągu tylko pierwszych pięciu miesięcy ponad 100 ataków ransomware. Działania grupy skierowana są do organizacji z różnych branż, od międzynarodowych koncernów naftowych po organizacje opieki zdrowotnej. Jednak najchętniej atakuje podmioty o przychodach przekraczających 5 milionów dolarów.
- Bianlian – od czerwca 2022 r. grupa zajmuje się tworzeniem ransomware, wdrażaniem i wyłudzaniem w ten sposób danych. Atakuje różne sektory w Stanach Zjednoczonych, ale nie tylko. Przeprowadziła chociażby atak na australijską infrastrukturę, usługi profesjonalne i organizacje deweloperskie. Bianlian uzyskuje dostęp do systemu za pomocą poświadczeń protokołu Remote Desktop Protocol (RDP),ale też narzędzi open source i skryptów wiersza poleceń. Po ataku żąda okupy, w przeciwnym razie grozi umieszczeniem prywatnych danych w internecie.
- Royal – grupa atakuje różne sektory infrastruktury krytycznej, w tym sektor produkcyjny, edukacja, komunikacja i zdrowie publiczne. Działanie grupy polega na wyłączaniu oprogramowania antywirusowego u atakowanego podmioty, a następnie wydobywaniu dużej ilości danych. Dopiero wtedy wdrażane jest oprogramowanie ransomware i szyfrowanie systemów. Okupy, których żąda grupa, opiewają na kwoty od 1 do 11 mln dol.
- Play – grupa ransomware działająca od czerwca 2022 r. Nazwę zaczerpnęła od rozszerzenia pliku “.play” dodanego po zaszyfrowaniu plików ofiar. Notatka z żądaniem okupy w przypadku tej grupy zawiera też to jedno słowo: PLAY. Wykorzystywanie niestandardowych narzędzi skraca czas obecności w infrastrukturze ofiar. Zmniejsza również prawdopodobieństwo, że oprzyrządowanie zostanie poddane inżynierii wstecznej lub zaadaptowane przez inne grupy. Takie działania zapewniają Play lepszą kontrolę nad operacjami.
- Akira – wykorzystuje usługi lub aplikacje dostępne publicznie. Wykorzystuje słabości w uwierzytelnianiu wieloskładnikowym oraz znane luki w oprogramowaniu. Celem grupy są instytucje edukacyjne, grupy finansowe, firmy z sektora produkcyjnego, nieruchomości i branży medycznej. Akira czasem ujawniała dane ofiar na swoich stronach internetowych. Rozmiary wykradzionych danych to od 5,9 GB do 259 GB. Grupa żąda okupów od 200 tys. do nawet kilku milionów dolarów.
- NoEscape – na początku 2023 r. grupa stała się poważnym zagrożenie. Twierdzi, że od podstaw zbudowało swoje złośliwe oprogramowanie i towarzyszącą mu infrastrukturę. Jednak najwyraźniej grupa unika atakowania podmiotów Wspólnoty Niepodległych Państw (WNP).
Źródło: dobreprogramy.pl