Ransomware może zniszczyć firmę w ciągu kilku sekund, utrudniając dostęp do danych, ograniczając zyski i niszcząc starannie wypracowaną reputację. To w tej chwili jedno z największych zagrożeń w cyberprzestrzeni, które w zeszłym roku urosło o około 4%. Z danych przygotowanych przez Check Point Research wynika, iż w 2023 r. co tydzień średnio 1 na 34 organizacje na całym świecie doświadczyła próby ataku ransomware, co stanowi wzrost o 4% w porównaniu z tym samym okresem ubiegłego roku. W wielu przypadkach kampanie hakerskie prowadziły te same grupy ransomware, które nieustannie tworzą, dostarczają i atakują niezwykle groźnym dla biznesu oprogramowaniem.
Najbardziej aktywne grupy ransomware w 2023 roku to:
- Lockbit3 – odpowiadał za około 24% wszystkich zgłoszonych incydentów ransomware w okresie od stycznia do czerwca 2023 roku. Grupa ta jest aktywna od 2020 roku i stale rozwija swoje metody ataku.
- MalasLocker – pojawił się po raz pierwszy w kwietniu 2023 roku i gwałtownie zyskał na popularności. Grupa ta jest znana z ataków na podmioty rosyjskie, co jest nietypowe dla grup ransomware.
- BlackCat – pojawił się w grudniu 2022 roku i gwałtownie stał się jedną z najbardziej niebezpiecznych grup ransomware. Grupa ta jest znana z wykorzystywania wyrafinowanych technik, takich jak ataków zero-day, w celu infiltrowania systemów ofiar.
- REvil – powrócili w 2023 roku po zawieszeniu działalności w 2022 roku. Są znani z ataków na duże przedsiębiorstwa, takie jak firmy ubezpieczeniowe i dostawcy usług IT.
- Conti – jest aktywny od 2020 roku i przez cały czas stanowi poważne zagrożenie. Grupa ta jest znana z ataków na podmioty z wielu branż, w tym sektora rządowego i infrastruktury krytycznej.
- ALPHV (BlackCat) – ten gang ransomware znany jest ze swoich kreatywnych i „szalonych” pomysłów. Na przykład użycie języka programowania rust, który sprawia, iż rozwikłanie ataków ransomware jest znacznie bardziej skomplikowane niż poprzednio. W tym roku ALPHV dokonało kilku znaczących naruszeń. Grupa przypisuje sobie ataki na systemy bezpieczeństwa lotnisk, rafinerii ropy naftowej i innych dostawców infrastruktury krytycznej.
- Clop Ransomware – w tym roku to jedna z najbardziej aktywnych grup zajmujących się ransomware, która przeprowadziła ponad 100 ataków w ciągu pierwszych pięciu miesięcy roku. Chociaż działania Clop są skierowane do organizacji z różnych branż, od międzynarodowych koncernów naftowych po organizacje opieki zdrowotnej, wydaje się, iż najchętniej celuje w organizacje o przychodach przekraczających 5 milionów dolarów.
- Bianlian – począwszy od czerwca 2022 r., ta grupa zajmująca się tworzeniem, wdrażaniem i wyłudzaniem danych przez ransomware, atakując organizacje z różnych sektorów infrastruktury w USA. Grupa naraziła także australijską infrastrukturę, usługi profesjonalne i organizacje deweloperskie. Bianlian próbuje uzyskać dostęp do systemu dzięki poświadczeń protokołu Remote Desktop Protocol (RDP), narzędzi open source i skryptów wiersza poleceń (w celu wykrywania i zbierania poświadczeń). Następnie eksfiltruje dane ofiar za pośrednictwem protokołu FTP, Rclone lub Mega. Po zakończeniu żąda zapłaty, grożąc, iż w przypadku braku płatności umieści prywatne dane w Internecie.
- Royal – celem tej grupy były różne sektory infrastruktury krytycznej, w tym sektor produkcyjny, edukacja, komunikacja i zdrowie publiczne. Grupa ransomware Royal zwykle wyłącza oprogramowanie antywirusowe i wydobywa duże ilości danych. Następnie napastnicy wdrażają oprogramowanie ransomware i szyfrują systemy. W przeszłości przestępcy z grupy Royal żądali okupu w wysokości od około 1 miliona dolarów do 11 milionów dolarów.
- Play – ta grupa ransomware pojawiła się w czerwcu 2022 r. Jej nazwa wzięła się od rozszerzenia pliku „.play” dodanego po zaszyfrowaniu plików ofiar oraz składającej się z jednego słowa „PLAY” notatki z żądaniem okupu, która była pokazywana ofiarom. Grupa wykorzystuje niestandardowe narzędzia. Uważa się, iż takie podejście skraca czas obecności w infrastrukturze ofiar, zmniejsza prawdopodobieństwo, iż oprzyrządowanie zostanie poddane inżynierii wstecznej lub zaadaptowane przez inne grupy i może zapewnić ściślejszą kontrolę nad operacjami, niż jest to dostępne w innym przypadku.
- Akira – grupa ta wykorzystuje usługi lub aplikacje dostępne publicznie, wykorzystuje słabości w uwierzytelnianiu wieloskładnikowym, a także wykorzystuje znane luki w oprogramowaniu. Akira atakuje instytucje edukacyjne, grupy finansowe, firmy z sektora produkcyjnego, nieruchomości i branży medycznej. W przeszłości grupa ujawniała dane ofiar na swoich stronach internetowych. Rozmiar wyciekających danych wahał się od 5,9 GB do 259 GB. Żądania okupu wynosiły od 200 tys. do kilku milionów dolarów.
- NoEscape – na początku tego roku hakerzy gwałtownie stali się poważnym zagrożeniem. NoEscape twierdzi, iż od podstaw zbudowało swoje złośliwe oprogramowanie i towarzyszącą mu infrastrukturę. jeżeli chodzi o cele, wydaje się, iż operatorzy NoEscape unikają ataków na organizacje Wspólnoty Niepodległych Państw (WNP).
Ataki ransomware stanowią poważne zagrożenie dla bezpieczeństwa przedsiębiorstw i organizacji, w tym dla sektora medycznego. W 2023 roku obserwowaliśmy wzrost liczby ataków ransomware, a także ewolucję metod stosowanych przez cyberprzestępców. Dlatego tak ważne jest, aby firmy wdrażały skuteczne strategie ochrony przed ransomware.
