Ransomware er en væsentlig trusselsvektor, der årligt koster virksomheder, virksomheder og infrastrukturoperatører milliarder af dollars. Bag disse trusler ligger professionelle ransomware-bander, der skaber og distribuerer malware, der gør angrebene mulige.
Nogle af disse grupper angriber ofre direkte, mens andre kører den populære Ransomware-as-a-Service (RaaS) model, der gør det muligt for tilknyttede virksomheder at afpresse specifikke organisationer.
Med ransomware-truslen konstant stigende, er det den eneste måde at være på forkant med at kende fjenden og hvordan de fungerer. Så her er en liste over de fem mest dødbringende ransomware-grupper, der forstyrrer cybersikkerhedslandskabet.
1. REvil
REvil ransomware-gruppen, a.k.a. Sodinokibi, er en Rusland-baseret ransomware-as-a-service (RaaS) operation, der først dukkede op i april 2019. Det betragtes som en af de mest hensynsløse ransomware-grupper med links til det russiske føderale serviceagentur (FSB).
Gruppen tiltrak hurtigt cybersikkerhedsprofessionelles opmærksomhed for dens tekniske dygtighed og frækheden til at gå efter højprofilerede mål. 2021 var det mest profitable år for koncernen, da det var rettet mod flere multinationale virksomheder og forstyrrede flere industrier.
Store ofre
I marts 2021, REvil angreb elektronik- og hardware-virksomheden Acer og kompromitterede sine servere. Angriberne krævede 50 millioner dollars for en dekrypteringsnøgle og truede med at øge løsesummen til 100 millioner dollars, hvis virksomheden ikke imødekom gruppens krav.
En måned senere udførte gruppen endnu et højt profileret angreb mod Apple-leverandøren, Quanta Computers. Det forsøgte at afpresse både Quanta og Apple, men ingen af selskaberne betalte den krævede løsesum på 50 millioner dollars.
REvil ransomware-gruppen fortsatte sin hacking-spree og målrettede JBS Foods, Invenergy, Kaseya og flere andre virksomheder. JBS Foods blev tvunget til midlertidigt at lukke sine aktiviteter og betalte en anslået løsesum på 11 millioner dollars i Bitcoin for at genoptage driften.
Det Kaseya angreb bragte uønsket opmærksomhed til gruppen, da den direkte påvirkede mere end 1.500 virksomheder verden over. Efter et vist diplomatisk pres arresterede de russiske myndigheder flere gruppemedlemmer i januar 2022 og beslaglagde aktiver for millioner af dollars. Men denne forstyrrelse var kortvarig, da REvil ransomware-banden har været oppe at køre igen siden april 2022.
2. Conti
Conti er en anden berygtet ransomware-bande, der har skabt overskrifter siden slutningen af 2018. Den bruger dobbelt afpresningsmetode, hvilket betyder, at gruppen tilbageholder dekrypteringsnøglen og truer med at lække følsomme data, hvis løsesummen ikke betales. Det driver endda et læk-websted, Conti News, for at offentliggøre de stjålne data.
Det, der gør Conti anderledes end andre ransomware-grupper, er manglen på etiske begrænsninger på dets mål. Det udførte adskillige angreb i uddannelses- og sundhedssektoren og krævede millioner af dollars i løsesum.
Store ofre
Conti ransomware-gruppen har en lang historie med at målrette mod kritiske offentlige infrastrukturer såsom sundhedspleje, energi, IT og landbrug. I december 2021 rapporterede gruppen, at den kompromitterede Indonesiens centralbank og stjal følsomme data på 13,88 GB.
I februar 2022 angreb Conti en international terminaloperatør, SEA-invest. Virksomheden driver 24 søhavne i Europa og Afrika og har specialiseret sig i håndtering af tør bulk, frugt og fødevarer, flydende bulk (olie og gas) og containere. Angrebet påvirkede alle de 24 havne og forårsagede betydelige forstyrrelser.
Conti havde også kompromitteret Broward County Public Schools i april og krævet $40 millioner i løsesum. Gruppen lækkede stjålne dokumenter på sin blog, efter at distriktet nægtede at betale løsesummen.
For nylig var den costaricanske præsident nødt til at erklære en national nødsituation efter angreb fra Conti på adskillige regeringsorganer.
3. Mørk side
DarkSide ransomware-gruppen følger RaaS-modellen og målretter mod store virksomheder for at afpresse store mængder penge. Det gør den ved at få adgang til en virksomheds netværk, normalt gennem phishing eller brute force, og krypterer alle filerne på netværket.
Der er flere teorier om oprindelsen af DarkSide ransomware-gruppen. Nogle analytikere mener, at det er baseret i Østeuropa, et sted i Ukraine eller Rusland. Andre mener, at gruppen har franchise i flere lande, herunder Iran og Polen.
Store ofre
DarkSide-gruppen stiller store krav om løsesum, men hævder at have en adfærdskodeks. Gruppen hævder, at den aldrig er rettet mod skoler, hospitaler, offentlige institutioner og enhver infrastruktur, der påvirker offentligheden.
Men i maj 2021 gennemførte DarkSide Kolonialrørledningsangreb og krævede 5 millioner dollars i løsesum. Det var det største cyberangreb på olieinfrastruktur i amerikansk historie og forstyrrede forsyningen af benzin og jetbrændstof i 17 stater.
Hændelsen udløste samtaler om sikkerheden af kritisk infrastruktur, og hvordan regeringer og virksomheder skal være mere omhyggelige med at beskytte dem.
Efter angrebet forsøgte DarkSide-gruppen at rense sit navn ved at bebrejde tredjeparts tilknyttede selskaber for angrebet. Dog ifølge Washington Post, besluttede gruppen at lukke sine aktiviteter efter stigende pres fra USA.
4. Dobbeltbetaler
DoppelPaymer ransomware er en efterfølger af BitPaymer ransomware, der først dukkede op i april 2019. Den bruger den usædvanlige metode med at ringe til ofre og kræve løsesum i bitcoins.
DoppelPaymer hævder at være baseret i Nordkorea og følger ransomware-modellen for dobbelt afpresning. Gruppens aktivitet faldt uger efter Colonial Pipeline-angrebet, men analytikere mener, at den omdøbte sig selv til Grief-gruppen.
Store ofre
DopplePaymer retter sig ofte mod olieselskaber, bilproducenter og kritiske industrier såsom sundhedspleje, uddannelse og nødtjenester. Det er den første ransomware, der forårsagede en patients død i Tyskland, efter at nødhjælpspersonalet ikke kunne kommunikere med hospitalet.
Gruppen skabte overskrifter, da den offentliggjorde vælgerinformation fra Hall County, Georgia. Sidste år kompromitterede den også Kia Motors Americas kundevendte systemer og stjal følsomme data. Gruppen krævede 404 bitcoins i løsesum, omtrent svarende til $20 millioner dengang.
5. LockBit
LockBit har på det seneste været en af de mest fremtrædende ransomware-bander, takket være andre gruppers tilbagegang. Siden sin første optræden i 2019 har LockBit oplevet en hidtil uset vækst og udviklet sin taktik betydeligt.
LockBit startede som en lavprofil bande oprindeligt, men vandt popularitet med lanceringen af LockBit 2.0 i slutningen af 2021. Gruppen følger RaaS-modellen og anvender den dobbelte afpresningstaktik til at afpresse ofre.
Store ofre
LockBit er i øjeblikket en virkningsfuld ransomware-gruppe, der tegner sig for over 40 procent af alle ransomware-angreb i maj 2022. Det angriber organisationer i USA, Kina, Indien og Europa.
Tidligere i år målrettede LockBit Thales Group, en fransk multinational elektronik, og truede med at lække følsomme data, hvis virksomheden ikke imødekom koncernens krav om løsesum.
Det kompromitterede også det franske justitsministerium og krypterede deres filer. Gruppen hævder nu at have brudt det italienske skatteagentur (L'Agenzia delle Entrate) og stjålet 100 GB data.
Beskyttelse mod Ransomware-angreb
Ransomware fortsætter med at være en blomstrende sortmarkedsindustri, der genererer milliarder af dollars i indtægter til disse berygtede bander hvert år. I betragtning af de økonomiske fordele og den stigende tilgængelighed af RaaS-modellen, er truslerne kun nødt til at stige.
Som med enhver malware er det at være på vagt og bruge passende sikkerhedssoftware skridt i den rigtige retning for at bekæmpe ransomware. Hvis du endnu ikke er klar til at investere i et premium sikkerhedsværktøj, kan du bruge Windowss indbyggede ransomware-beskyttelsesværktøjer til at holde din pc sikker.
