Najbardziej aktywne gangi ransomware w 2023 roku

29 listopada, 2023

Ransomware może zniszczyć firmę w ciągu kilku sekund, utrudniając dostęp do danych, ograniczając zyski i niszcząc starannie wypracowaną reputację. To obecnie jedno z największych zagrożeń w cyberprzestrzeni, które w zeszłym roku urosło o około 4%. Z danych przygotowanych przez Check Point Research wynika, że w 2023 r. co tydzień średnio 1 na 34 organizacje na całym świecie doświadczyła próby ataku ransomware, co stanowi wzrost o 4% w porównaniu z tym samym okresem ubiegłego roku. W wielu przypadkach kampanie hakerskie prowadziły te same grupy ransomware, które nieustannie tworzą, dostarczają i atakują niezwykle groźnym dla biznesu oprogramowaniem.

Najbardziej aktywne grupy ransomware w 2023 roku to:

  • Lockbit3 – odpowiadał za około 24% wszystkich zgłoszonych incydentów ransomware w okresie od stycznia do czerwca 2023 roku. Grupa ta jest aktywna od 2020 roku i stale rozwija swoje metody ataku.

  • MalasLocker – pojawił się po raz pierwszy w kwietniu 2023 roku i szybko zyskał na popularności. Grupa ta jest znana z ataków na podmioty rosyjskie, co jest nietypowe dla grup ransomware.

  • BlackCat – pojawił się w grudniu 2022 roku i szybko stał się jedną z najbardziej niebezpiecznych grup ransomware. Grupa ta jest znana z wykorzystywania wyrafinowanych technik, takich jak ataków zero-day, w celu infiltrowania systemów ofiar.

  • REvil – powrócili w 2023 roku po zawieszeniu działalności w 2022 roku. Są znani z ataków na duże przedsiębiorstwa, takie jak firmy ubezpieczeniowe i dostawcy usług IT.

  • Conti – jest aktywny od 2020 roku i nadal stanowi poważne zagrożenie. Grupa ta jest znana z ataków na podmioty z wielu branż, w tym sektora rządowego i infrastruktury krytycznej.

  • ALPHV (BlackCat) – ten gang ransomware znany jest ze swoich kreatywnych i „szalonych” pomysłów. Na przykład użycie języka programowania rust, który sprawia, że rozwikłanie ataków ransomware jest znacznie bardziej skomplikowane niż poprzednio. W tym roku ALPHV dokonało kilku znaczących naruszeń. Grupa przypisuje sobie ataki na systemy bezpieczeństwa lotnisk, rafinerii ropy naftowej i innych dostawców infrastruktury krytycznej.

  • Clop Ransomware – w tym roku to jedna z najbardziej aktywnych grup zajmujących się ransomware, która przeprowadziła ponad 100 ataków w ciągu pierwszych pięciu miesięcy roku. Chociaż działania Clop są skierowane do organizacji z różnych branż, od międzynarodowych koncernów naftowych po organizacje opieki zdrowotnej, wydaje się, że najchętniej celuje w organizacje o przychodach przekraczających 5 milionów dolarów.

  • Bianlian – począwszy od czerwca 2022 r., ta grupa zajmująca się tworzeniem, wdrażaniem i wyłudzaniem danych przez ransomware, atakując organizacje z różnych sektorów infrastruktury w USA. Grupa naraziła także australijską infrastrukturę, usługi profesjonalne i organizacje deweloperskie. Bianlian próbuje uzyskać dostęp do systemu za pomocą poświadczeń protokołu Remote Desktop Protocol (RDP), narzędzi open source i skryptów wiersza poleceń (w celu wykrywania i zbierania poświadczeń). Następnie eksfiltruje dane ofiar za pośrednictwem protokołu FTP, Rclone lub Mega. Po zakończeniu żąda zapłaty, grożąc, że w przypadku braku płatności umieści prywatne dane w Internecie.

  • Royal – celem tej grupy były różne sektory infrastruktury krytycznej, w tym sektor produkcyjny, edukacja, komunikacja i zdrowie publiczne. Grupa ransomware Royal zazwyczaj wyłącza oprogramowanie antywirusowe i wydobywa duże ilości danych. Następnie napastnicy wdrażają oprogramowanie ransomware i szyfrują systemy. W przeszłości przestępcy z grupy Royal żądali okupu w wysokości od około 1 miliona dolarów do 11 milionów dolarów.

  • Play – ta grupa ransomware pojawiła się w czerwcu 2022 r. Jej nazwa wzięła się od rozszerzenia pliku „.play” dodanego po zaszyfrowaniu plików ofiar oraz składającej się z jednego słowa „PLAY” notatki z żądaniem okupu, która była pokazywana ofiarom. Grupa wykorzystuje niestandardowe narzędzia. Uważa się, że takie podejście skraca czas obecności w infrastrukturze ofiar, zmniejsza prawdopodobieństwo, że oprzyrządowanie zostanie poddane inżynierii wstecznej lub zaadaptowane przez inne grupy i może zapewnić ściślejszą kontrolę nad operacjami, niż jest to dostępne w innym przypadku.

  • Akira – grupa ta wykorzystuje usługi lub aplikacje dostępne publicznie, wykorzystuje słabości w uwierzytelnianiu wieloskładnikowym, a także wykorzystuje znane luki w oprogramowaniu. Akira atakuje instytucje edukacyjne, grupy finansowe, firmy z sektora produkcyjnego, nieruchomości i branży medycznej. W przeszłości grupa ujawniała dane ofiar na swoich stronach internetowych. Rozmiar wyciekających danych wahał się od 5,9 GB do 259 GB. Żądania okupu wynosiły od 200 tys. do kilku milionów dolarów.
         
  • NoEscape – na początku tego roku hakerzy szybko stali się poważnym zagrożeniem. NoEscape twierdzi, że od podstaw zbudowało swoje złośliwe oprogramowanie i towarzyszącą mu infrastrukturę. Jeśli chodzi o cele, wydaje się, że operatorzy NoEscape unikają ataków na organizacje Wspólnoty Niepodległych Państw (WNP).    

Ataki ransomware stanowią poważne zagrożenie dla bezpieczeństwa przedsiębiorstw i organizacji, w tym dla sektora medycznego. W 2023 roku obserwowaliśmy wzrost liczby ataków ransomware, a także ewolucję metod stosowanych przez cyberprzestępców. Dlatego tak ważne jest, aby firmy wdrażały skuteczne strategie ochrony przed ransomware.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 1

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]