Подводим итоги и выясняем кто себя плохо вёл в этом году.
За последний год группировки то распадались, то вновь образовывались, но одно можно сказать наверняка — они продолжают существовать.
Несмотря на все усилия, проблема программ-вымогателей продолжает расти: в недавнем отчете ИБ-компании Zscaler зафиксирован рост числа атак программ-вымогателей на 80% по сравнению с прошлым годом. Основные тенденции включали двойное вымогательство, атаки на цепочку поставок, вымогательство как услугу (Ransomware-as-a-Service, RaaS), ребрендинг групп и геополитически мотивированные атаки.
Например, в этом году известная группа вымогателей Conti распалась , но ее участники только продвинулись вперед, формируя новые банды.
Каких групп следует остерегаться в 2023 году? Мы рассмотрим некоторых из наиболее значимых игроков.
LockBit
LockBit существует с 2019 года и работает по RaaS-модели. По данным GuidePoint Security, самая многочисленная группа, на которую приходится более 4 из 10 жертв программ-вымогателей. Считается, что хакеры LockBit связаны с Россией .
Версия вымогательского ПО LockBit 3.0 была выпущена в июне и уже распространилась на 41 страну, согласно Intel 471. Основные цели - профессиональные услуги, консалтинг и производство , потребительские и промышленные товары , а также недвижимость.
Кроме того, LockBit запустила свою собственную программу Bug Bounty , предлагая до $1 млн. за обнаружение уязвимостей в своих вредоносных программах, сайтах утечки, Tor-сети или службе обмена сообщениями.
Black Basta
Группировка Black Basta впервые появилась весной этого года и за первые 2 недели атаковала не менее 20 компаний. Предполагается, что группа состоит из бывших участников Conti и REvil .
В настоящее время Black Basta проводит кампанию с использованием вредоносного ПО QakBot , банковского трояна, используемого для кражи финансовых данных жертв, включая информацию о браузере, нажатия клавиш и учетные данные.
Считается, что Black Basta за последний квартал поразила около 50 организаций в США, в том числе Американскую Ассоциацию Стоматологов (ADA) и канадскую компанию по розничной торговле продуктами питания Sobeys. Более половины целей группы были из США.
Hive
Hive, третья по активности группа вымогателей в этом году, фокусируется на промышленном секторе, а также на организациях здравоохранения, энергетики и сельского хозяйства. По данным ФБР, хакеры атаковали 1300 компаний по всему миру, особенно в секторе здравоохранения, и получили около $100 млн. в виде выкупа.
В последние недели группа взяла на себя ответственность за атаку на индийскую энергетическую компанию Tata Power , выложив данные фирмы в сеть, а также нескольких колледжей в США.
Hive, как полагают эксперты, сотрудничает с другими группами вымогателей и имеет собственную службу поддержки клиентов и отделы продаж. Группировка также занимается тройным вымогательством.
ALPHV/BlackCat
ALPHV/BlackCat – одно из самых сложных и гибких семейств программ-вымогателей, основанное на языке программирования Rust, которое существует уже около года. Считается, что группа состоит из бывших членов банды REvil и связана с BlackMatter (DarkSide).
Группа также работает по RaaS-модели, эксплуатируя известные уязвимости или незащищенные учетные данные, а затем проводя DDoS-атаки, чтобы заставить жертву заплатить выкуп. Хакеры BlackCat раскрывают украденные данные через собственную поисковую систему.
Целями группы являются организации критической инфраструктуры, в том числе аэропорты, операторы топливных трубопроводов и нефтеперерабатывающие заводы, а также Министерство обороны США.
Требования выкупа исчисляются миллионами, и даже когда жертва платит, группа не всегда предоставляет обещанные инструменты дешифрования .
BianLian
Относительно новый игрок, который нацелен на организации в Австралии, Северной Америке и Великобритании. Группа быстро запускает в сеть новые серверы управления и контроля (C&C), что указывает на то, что хакеры планируют значительно увеличить активность.
Как и многие другие программы-вымогатели, BianLian основан на языке Go, что обеспечивает ему высокую гибкость и кроссплатформенность . Согласно изданию Redacted, группа состоит из относительно неопытных киберпреступников, поскольку они плохо знакомы с практическими бизнес-аспектами программ-вымогателей и связанной с ними логистикой. Широкий круг жертв группы указывает на то, что она мотивирована деньгами, а не какими-либо политическими идеями.
Другие новые группы
Мир программ-вымогателей постоянно меняется, и несколько групп переименовались: DarkSide теперь называется BlackMatter, DoppelPaymer стал Grief, а Rook переименовался в Pandora. Кроме того, за последний год появились новые группы – Mindware, Cheers, RansomHouse и DarkAngels. О них мы, вероятно, услышим в следующем году.
01-28-2025, 12:43 PM
Threaded Mode