Кто есть кто в программе вымогателе

Банды и штаммы, которых следует остерегаться в 2023 году, спонсируемые Conceal

– Чарли Осборн, главный редактор журнала о киберпреступности

Лондон, 29 сентября 2023 г.

Программы-вымогатели – одна из самых опасных и сложных проблем безопасности, с которыми сталкиваются организации. По прогнозам Cybersecurity Ventures, программы-вымогатели будут атаковать бизнес, потребителя или устройство каждые две секунды и будут стоить жертвам 265 миллиардов долларов ежегодно к 2031 году.

Наша цель с помощью этого отчета – пролить свет на организованные банды, которые планируют и осуществляют атаки. Знание – сила в войне с преступниками-вымогателями.

ЧТО такое ПРОГРАММА-вымогатель?

Программа-вымогатель – это разновидность вредоносного ПО, предназначенная для отказа пользователю в доступе к его файлам или системам, и условно разделяется на типы шифрования и блокировки, хотя сегодня многие семейства программ—вымогателей сочетают эти возможности и многое другое.

Как только программа-вымогатель успешно заражает целевой компьютер или сеть, ее операторы пытаются вымогать деньги у своих жертв. Когда-то наибольшему риску от программы-вымогателя, скрытой в вредоносных вложениях к электронным письмам, подозрительных ссылках и скачиваниях с авторизацией, подвергались частные лица, но сейчас организации, безусловно, являются наиболее прибыльными и привлекательными целями для преступников.

Сегодняшние злоумышленники будут использовать приманку в виде ключа дешифрования (который может сработать, а может и не сработать), чтобы заставить цель заплатить. Кроме того, предприятия могут оказаться жертвами вымогательства, связанного с кражей данных.

Программа-вымогатель распространяется по сетям в горизонтальном направлении, часто попадая на подключенные компьютеры и накопители. В зависимости от сложности исходного программиста будут реализованы различные уровни шифрования для защиты вредоносного ПО от обратного проектирования и обеспечения устойчивости систем-жертв к попыткам расшифровки.

Кроме того, семейства программ-вымогателей выпускаются на различных языках программирования – от C ++ до Rust и Golang (Go).

К хорошо известным вариантам и операторам программ-вымогателей относятся Alphv / BlackCat, WannaCry, CryptoLocker, Conti, Evil Corp, Grief Group и Lace Tempest.

ТРЕБОВАНИЯ ВЫКУПА

Банды программ-вымогателей почти в каждом случае мотивированы финансово. Эти киберпреступники не остановятся ни перед чем, чтобы получить плату — означает ли это блокировку вашей личной информации или прекращение деятельности компании из списка Fortune 500.

Жертвы будут перенаправлены на веб-сайты в темной сети и платформы безопасного чата, чтобы произвести платеж или договориться о выкупе. Чтобы скрыть свои следы, требования о выкупе выдвигаются в криптовалюте, чаще всего в биткоинах (BTC), хотя иногда появляются и другие виртуальные монеты, включая Ethereum (ETH) и Monero (XMR).

На сегодняшний день, по сообщениям, крупнейшая выплата за вымогательство была произведена CNA Financial, крупной страховой компанией США. Согласно отчетам, фирма заплатила 40 миллионов долларов США в попытке восстановить доступ к своим системам после атаки группы программ-вымогателей.

Еще одна заметная выплата выкупа была произведена Caesars в сентябре в размере 15 миллионов долларов США после того, как банда вымогателей взломала базу данных программы лояльности Caesar’s Rewards. Киберпреступники согласились не публиковать данные пользователя, если был произведен платеж, хотя еще предстоит выяснить, сдержат ли они свое обещание.

Согласно данным NCC Group, в период с января по июнь 2023 года было зарегистрировано 2085 серьезных инцидентов, связанных с вымогательством, что на 67 процентов больше по сравнению с аналогичным периодом прошлого года. Исследователи говорят, что на рост “в немалой степени сильно повлияло увеличение числа операторов RaaS и постоянно развивающаяся бизнес-модель программ-вымогателей / утечки данных”.

Требования о выкупе часто достигают миллионов долларов, причем многие другие суммы варьируются от пяти до шести цифр. Если жертвы откажутся, они могут оказаться публично “названными и пристыженными” на сайтах утечки, а их конфиденциальная информация может быть разглашена или продана.

ГЛОБАЛЬНЫЕ ЗАТРАТЫ НА ПРОГРАММУ-ВЫМОГАТЕЛЬ

Программа-вымогатель в настоящее время является синонимом процветающей экономики киберпреступности.

В то время как заражение программами-вымогателями когда-то считалось следствием посещения незаконных веб-сайтов или загрузки незаконного взломанного программного обеспечения, в настоящее время это излюбленное оружие киберпреступников, без разбора атакующих частных лиц, малый и средний бизнес и организации из списка Fortune 500.

Программы-вымогатели продолжают развиваться по одной причине: достижение все больших высот в финансовом вымогательстве. Несмотря на то, что CISO и команды кибербезопасности вкладывают ресурсы в защиту от вымогателей, а правоохранительные органы расправляются с прибыльной нелегальной индустрией по всему миру, вымогатели не проявляли никаких признаков остановки в этом году.

Банды программ-вымогателей неустанно борются за положение наиболее опасных угроз для сетевых защитников.

Сеть по борьбе с финансовыми преступлениями США (FinCEN) заявляет, что программы-вымогатели представляют значительную угрозу для бизнеса и общественности. Например, подозрительные транзакции, которые, предположительно, связаны с программами-вымогателями и о которых сообщается в соответствии с Законом о банковской тайне, достигли 1,2 миллиарда долларов США в 2021 году.

Аналитики FinCEN утверждают, что российские киберпреступники лежат в основе многих используемых сегодня вариантов программ-вымогателей, на долю которых приходится 75процентов инцидентов, связанных с программами-вымогателями. Более того, говорят, что пять самых кассовых вариантов программы-вымогателя связаны с российскими злоумышленниками.

“Финансовые учреждения, которые игнорируют свои нормативные обязательства, подвергают риску себя, граждан и компании США и всю финансовую систему”, – добавил ФинСен. “Они открывают дверь для всевозможных угроз, включая незаконное финансирование со стороны России, киберпреступности и программы-вымогатели, торговлю наркотиками или людьми или другие отвратительные преступления”.

По прогнозам Cybersecurity Ventures, к 2031 году программы-вымогатели обойдутся своим жертвам примерно в 265 миллиардов долларов, исходя из 30-процентного роста в годовом исчислении в течение следующего десятилетия.

Затраты включают выплаты выкупа, повреждение и уничтожение данных, потерю производительности, кражу интеллектуальной собственности, раскрытие личных и финансовых данных, нарушение обычного хода бизнеса после атаки, судебное расследование, восстановление и удаление взломанных данных и систем, а также ущерб репутации.

Cybersecurity Ventures прогнозирует, что к 2031 году атака программы-вымогателя будет поражать потребителя или компанию каждые две секунды.

КИБЕРСТРАХОВАНИЕ

Считается, что страхование – это способ снизить стоимость программ-вымогателей. В первом квартале 2023 года количество претензий, связанных с программами-вымогателями, выросло на 27 процентов, при этом аналитики говорят, что средняя сумма убытков для организаций-жертв составила более 365 000 долларов США.

Страховые компании далеко не в курсе, что киберпреступность, будь то массовая или спонсируемая государством, в настоящее время представляет серьезную угрозу для современного бизнеса. Следовательно, отрасль находится в состоянии постоянного изменения, и некоторые страховщики внедряют исключения для предотвращения выплат после атак, спонсируемых государством.

В отчете PWC о страховании Banana Skins 2023, подготовленном совместно с Центром изучения финансовых инноваций (CSFI), киберриски названы главной заботой страховщиков на ближайшие два-три года. Полученные данные отражают рост числа претензий, растущую изощренность киберпреступников, спонсируемые государством кампании и собственные опасения страховой отрасли подвергнуться нападению.

К сожалению, некоторым компаниям может быть дешевле — с учетом потерянного времени, сбоев в работе и самого спроса — выплачивать выкуп, а не полагаться на усилия по восстановлению, резервные копии и страховые выплаты.

“Процесс страхования и требования к управлению сами по себе затрудняют доступ к средствам, но существует растущий киберриск, поскольку страховщики располагают огромным количеством конфиденциальных данных, которые злоумышленники считают ценными”, – сообщает PWC.

ОПЕРАТИВНЫЙ ЛАНДШАФТ

Операции программ-вымогателей могут принимать различные формы. Неискушенные банды могут полагаться на фишинг и спам, в то время как другие более продвинутые группы могут потратить время на то, чтобы сначала провести разведку и тщательно и незаметно выбрать свои цели.

В некоторых случаях группы покупают коммерчески доступные лицензии на программы-вымогатели, практика, известная как Ransomware-as-a-Service (RaaS), в то время как другие могут разрабатывать собственное цифровое оружие и ревниво охранять свои творения для эксклюзивного использования.

Следует помнить, что многие операции с программами-вымогателями эволюционировали до такой степени, что их структура похожа на структуру современного бизнеса.

Банды программ-вымогателей могут нанимать профессионалов для выполнения различных ролей, обеспечения обслуживания клиентов, сотрудничества с другими киберпреступниками или получения “комиссионных”, когда клиент, использующий их разновидность программы-вымогателя, успешно вымогает оплату у жертвы.

Многие банды программ-вымогателей специально нацелены на то, что известно как “Большая игра”. “Большая игра” – это крупные корпоративные фирмы с высокой стоимостью, которые получают большой годовой доход, а также многое теряют в случае простоя. Теоретическими примерами крупных игровых целей могут быть Apple, Microsoft, Okta, Amtrak или Sony.

Мотивом нацеливания на крупную игру является возможность более высоких выплат, часто достигающих миллионов долларов.

Проведенный Heidrick & Struggles’ом в 2023 году опрос директора по информационной безопасности Heidrick & Struggles’а (CISO) показал, что искусственный интеллект, геополитические вызовы и кибератаки, включая программы—вымогатели и спонсируемые государством угрозы, считаются наиболее значительными организационными рисками на сегодняшний день.

Некоторые из самых громких атак программ-вымогателей в этом году включают:

ROYAL MAIL: Национальная почтовая служба Великобритании Royal Mail была атакована LockBit в январе. Атака программы-вымогателя привела к задержке внутренних и международных поставок, а сотрудники были лишены доступа к важнейшим операционным файлам и системам. LockBit потребовала выкуп в размере 80 миллионов долларов США. Чиновники Royal Mail отказались и назвали требование “абсурдным”.
DISH NETWORK: 3 февраля 202 года письма с уведомлением о нарушении, отправленные Dish Network, показали, что атака программы-вымогателя раскрыла конфиденциальные записи и конфиденциальную информацию, принадлежащую нынешним и бывшим сотрудникам. Отчеты предполагают, что выкуп был выплачен, поскольку компания “получила подтверждение того, что извлеченные данные были удалены”.
REDDIT: Также в феврале 2023 года сотрудники популярного онлайн-форума попались на фишинговую кампанию, предоставив злоумышленникам доступ к внутренней информации. Злоумышленники Alphv / BlackCat потребовали выкуп в размере 4,5 миллионов долларов США наряду с отменой спорных изменений API.
CAESARS: Сеть казино Caesars Entertainment выплатила киберпреступникам 15 миллионов долларов США после атаки программы-вымогателя, которая привела к краже данных клиентов из базы данных программы лояльности, произошедшей в сентябре 2023 года.
MGM RESORTS: MGM Resorts подверглась атаке вымогателей по пятам за Caesars. Ответственность взяли на себя две группы вымогателей — Alphv / BlackCat и Scattered Spider, — но в обоих случаях MGM properties столкнулась со сбоями в системе регистрации, перестали отвечать цифровые карты-ключи и более недели осуществлялись платежи только наличными.
JOHNSON CONTROLS: В конце сентября 2023 года Johnson Controls International подверглась серьезной атаке вымогателей, в результате которой устройства компании и серверы VMware ESXi были зашифрованы. Промышленный гигант и его дочерние компании серьезно пострадали из-за технических сбоев, которые также отразились на порталах клиентов.

ГЕОПОЛИТИКА

Если вы считаете вымогательство бизнесом, пусть и преступным, то состояние и колебания в политике, законодательстве и экономике могут повлиять на отрасль.

Операторы программ-вымогателей, особенно спонсируемые государством, действуют не в вакууме и также могут совершать политически мотивированные атаки.

Например, подозреваемые российские хакеры атаковали глобальную коммуникационную компанию Viasat, их основной целью были украинские военные, еще до начала вторжения. С тех пор Microsoft отслеживала группу под названием Cadet Blizzard, связанную с российским ГРУ, которая подозревается во многих атаках на украинскую инфраструктуру.

Группа анализа угроз Google (TAG) сообщает, что Украина была в центре внимания российских угроз в 2023 году.

Отношение местных властей к киберпреступности также может изменить их отношения с другими политическими группировками.

В течение многих лет Кремль давал поверхностные обещания бороться с киберпреступностью. Эта неспособность обуздать киберпреступность имеет глобальные последствия. Например, до вторжения в Украину Россию не пригласили на встречу в Белом доме с мировыми лидерами по вопросу о том, как сорвать операции программ-вымогателей, и с тех пор другие страны расширили соглашения об обмене разведданными об угрозах.

Россия недавно предложила международный договор ООН о киберпреступности при поддержке Китая и Северной Кореи, но компании, включая Microsoft, предупредили, что проект направлен только на оправдание слежки за гражданами и подавления инакомыслия в Интернете, а не на борьбу с цифровой преступностью.

В 2022 году США и Канада обновили Форум по борьбе с трансграничной преступностью (CBCF), чтобы улучшить практику отчетности об атаках программ-вымогателей, влияющих на трансграничную критическую инфраструктуру. В том же году представители США и ЕС встретились, чтобы поделиться передовым опытом и обсудить сотрудничество в борьбе с программами-вымогателями, которое теперь описывается как “глобальная проблема, требующая сотрудничества на мировом уровне”.

США, Великобритания и ЕС постоянно критикуют руководство России, Китая и Северной Кореи за предполагаемое подстрекательство к атакам программ-вымогателей, происходящих из их соответствующих стран.

ТАКТИКА

Тактика, используемая современными кибератакерами, столь же разнообразна, как и их цели. Группы программ-вымогателей могут проводить атаку от начала до конца самостоятельно, или они могут нанять других преступников, чтобы упростить процесс. Например, можно приобрести начальный доступ к сетям в Dark Web, и многие из этих брокеров специализируются на поиске точек входа, подходящих для кибершпионажа и развертывания вредоносных программ.

Ниже приведены методы, используемые группами программ-вымогателей для компрометации своих жертв:

СПАМ и ФИШИНГ: распространенный способ распространения программ-вымогателей – массовый спам по электронной почте и ссылкам в социальных сетях, что приводит к загрузке вредоносных вложений или скачиванию с компьютера. Однако вероятность успеха атак может быть выше, когда задействована социальная инженерия.

АТАКИ МЕТОДОМ ГРУБОЙ СИЛЫ: Автоматические атаки методом грубой силы используются для попытки получить учетные данные учетной записи пользователя и закрепиться в целевой сети. Вы также можете обнаружить, что автоматические атаки происходят после того, как операторы программы-вымогателя находятся в сети, поскольку они могут искать дополнительные учетные записи пользователей и серверы для заражения.

БРОКЕРЫ НАЧАЛЬНОГО ДОСТУПА: также известные как IABs, брокеры начального доступа – это торговцы в темной Сети, которые продают компаниям точки начального доступа, включая украденные учетные данные или работающие туннели RDP. Приобретая начальный доступ, банды программ-вымогателей могут избежать трудоемкого этапа цепочки атак и сразу приступить к сетевой разведке или заражению.

РАЗВЕДКА, СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ: Изощренные группы программ-вымогателей часто осуществляют слежку за объектом, чтобы узнать о нем и любых связанных с ним деловых связях, друзьях или членах семьи.

Они также могут проводить разведывательные операции с открытым исходным кодом (OSINT) для сбора общедоступных сведений о своих целях. Вооруженные этой информацией злоумышленники могут маскироваться под доверенные контакты, чтобы заманить жертв в невольное выполнение программы-вымогателя. Как мы наблюдали в ходе недавнего взлома MGM Resorts, получение правильных учетных данных для сети жертвы при правильном предварительном исследовании может занять всего несколько минут.

ПРОТОКОЛ УДАЛЕННОГО рабочего СТОЛА: Использование протокола удаленного рабочего стола (RDP) является распространенным способом проникновения вымогателей в вашу сеть. RDP можно использовать с помощью уязвимостей программного обеспечения и взлома учетных записей пользователей, вошедших в систему через удаленные сайты.

НАБОРЫ ЭКСПЛОЙТОВ: наборы эксплойтов, такие как Angler, RIG и Blackhole, могут объединять программу-вымогатель в вредоносный пакет, комбинируя его с программными эксплойтами для получения доступа к уязвимому компьютеру.

ИНСАЙДЕРЫ: если кибергруппе удастся найти недовольного сотрудника, они могут стать угрозой со стороны инсайдеров. Сотруднику могут предложить наличные деньги или процент от выкупа за развертывание вредоносной полезной нагрузки внутри сети компании или “попадание” в попытку фишинга. Сотрудники также могут стать невольными, случайными инсайдерами, если они совершают подлинные ошибки.

ДВОЙНОЕ ВЫМОГАТЕЛЬСТВО: Двойное вымогательство состоит из двух тактик вымогательства платежа. Конфиденциальные данные похищаются перед шифрованием, а затем киберпреступники угрожают опубликовать эту информацию в Интернете, если им не заплатят.

ТРОЙНОЕ ВЫМОГАТЕЛЬСТВО: Новой, вызывающей беспокойство тенденцией является тройное вымогательство. Как отметил Всемирный экономический форум, некоторые операторы программ-вымогателей в настоящее время предпринимают попытки кражи данных и вымогательства у организации-жертвы, и если организация откажется, они свяжутся с лицами, причастными к взлому, чтобы потребовать оплаты в обмен на сохранение конфиденциальности их данных.

САЙТЫ-УТЕЧКИ: сайты-утечки размещаются как в открытом, так и в темном Интернете. Эти веб-сайты действуют как порталы, на которых позорятся жертвы программ-вымогателей, которым угрожают публикацией их данных, если платеж с целью вымогательства не будет произведен к определенной дате или времени. Имена также могут появляться до утечки данных в качестве метода оказания дополнительного давления на скомпрометированные организации.

БАНДЫ ПРОГРАММ-вымогателей

По мере формирования одних банд вымогателей, а другие закрываются или проводят ребрендинг, те, за кем стоит следить, становятся постоянно меняющимися целями. Однако ниже мы выделяем наиболее заметные и интересные банды вымогателей, за которыми стоит понаблюдать в 2023 году.

8BASE: 8base – это группа программ-вымогателей, активная с марта 2022 года, которая управляет сайтом утечки и нацелена в первую очередь на организации, работающие в сфере ИТ, бизнеса, финансов и производства. Провинциальная правительственная организация Канады заплатила 8base выкуп, чтобы предотвратить утечку данных, принадлежащих примерно 1,47 миллионам человек.
ABYSS LOCKER: Abyss Locker, запущенная в марте 2023 года, представляет собой новую группу вымогателей, которая заявила о себе по меньшей мере 14 организациям-жертвам. Abyss Locker нацелен на серверы VMware ESXi и проводит игры с двойным вымогательством, чтобы заставить жертв заплатить выкуп.
AKIRA: Запущенная в марте 2023 года, Akira является новым участником, ориентированным на атаки на организации в финансовой, имущественной, образовательной, производственной и других сферах. Считается, что эта операция отличается от операции Akira Group 2017 года.
ALPHV / BLACKCAT: банда RaaS была впервые обнаружена в конце 2021 года и примечательна необычным использованием языка Rust. Филиалы массово внедрили программу-вымогатель BlackCat, и считается, что группа связана с Scattered Spider. Хакеры Alphv утверждают, что в ходе недавней атаки на MGM Resorts потребовалось не более 10-минутного телефонного звонка, чтобы скомпрометировать системы гостиничного гиганта. Группа также была связана с шифровальщиком Sphynx.
AVOSLOCKER: AvosLocker продает свои товары на подпольных форумах как минимум с 2021 года. Банда RaaS провела громкие атаки против сектора здравоохранения. В мае 2023 года AvosLocker взломал систему массового оповещения, принадлежащую школе в Вирджинии, Bluefield University, чтобы угрожать учащимся и сотрудникам.
BABUK: утечка исходного кода Babuk произошла в 2021 году. Более мелкие участники программы-вымогателя, включая Ransom House и Play, используют код для создания ESXi lockers. Предполагаемый лидер Babuk был обвинен и подвергнут санкциям со стороны властей США в мае.
BIANLIAN: BianLian использует программу-вымогатель на основе Go и инфраструктуру, которая впервые появилась в декабре 2021 года. Исследователи приняли к сведению эту угрозу из-за высокой скорости шифрования вредоносного ПО. Хотя в марте был выпущен бесплатный дешифратор, исследователи отметили поворот в тактике, позволяющей полагаться исключительно на кражу данных и вымогательство для получения дохода. В сентябре некоммерческая организация Save the Children заявила, что БьянЛянь была виновата в атаке программы-вымогателя и краже 7 ТБ конфиденциальных данных, связанных с деятельностью благотворительной организации.
BLACK BASTA: Впервые обнаруженная в апреле 2022 года, Black Basta – относительно новая программа, жертвами которой уже стали по меньшей мере 50 организаций. Расследование продолжается, но некоторые доказательства указывают на российское происхождение. По сообщениям, группа вымогателей в мае объявила швейцарскую транснациональную компанию ABB жертвой после компрометации Windows Active Directory фирмы. Исследователи подозревают реальные связи между Black Basta, Hive и Royal.
BLACKBYTE: У BlackByte есть жертвы по всему миру, от Мексики до Вьетнама. RaaS group – охотник за крупной дичью и использует интересную модель шантажа: жертвы могут платить меньшие суммы за задержку публикации украденных данных и более высокие суммы за загрузку или удаление. BlackByte приняла методы двойного вымогательства.
BL00DY: В мае ФБР и CISA выпустили совместное предупреждение, призвав организации быть начеку в отношении Bl00dy, банды программ-вымогателей, использующих уязвимости PaperCut для атаки на сектор образования.
CL0P: служба RaaS и многочисленная группа угроз, CLOP / CL0P вымогала у организаций-жертв около 500 миллионов долларов. Несмотря на то, что произошли аресты, служба RaaS жива и здорова. В декабре появилась Linux-версия программы-вымогателя, но из-за ошибки в дизайне был выпущен дешифратор. В третьем квартале CL0P заявила о более чем 400 жертвах с помощью эксплойта нулевого дня в программном обеспечении MOVEit transfer, используемого для кражи данных из корпоративных сетей. Правительство США предлагает вознаграждение в размере 10 миллионов долларов США за информацию об этой группе.
CONTI / WIZARD SPIDER: Когда Россия вторглась в Украину, Conti пообещала свою поддержку президенту России Владимиру Путину. Недовольный исследователь в ответ взломал системы банды и слил их файлы, что привело к отставке Конти. Исследователи подозревают, что пользователи перешли в BlackCat, AvosLocker, Hive и HelloKitty. Предполагаемые участники были обвинены властями Великобритании и США.
КУБА: С декабря 2021 года число жертв кубинской программы-вымогателя в США удвоилось благодаря увеличению выплат. Подозреваются связи с RomCom RAT и промышленными шпионскими программами-вымогателями. Были зарегистрированы недавние атаки на критически важную инфраструктуру в Латинской Америке.
CYCLOP / KNIGHT: Ранее известная как Cyclop, Knight представляет собой ребрендированную версию организации RaaS, которая распространяется в рамках спам-кампаний. В последнее время кампании включали поддельный TripAdvisor

DARKANGELS: Потенциально ребрендинг Babuk, DarkAngels появился в 2022 году и проводит целенаправленные атаки.
DARKBIT: Группа DarkBit атаковала один из ведущих исследовательских университетов Израиля в 2023 году. Похоже, что DarkBit преследует политические цели, учитывая, что его записка с требованием выкупа была наполнена антиизраильскими сообщениями.
DARKSIDE: DarkSide, предположительно базирующаяся в Восточной Европе, вызвала паническую закупку топлива в США в 2021 году после удара по трубопроводу Colonial. По сообщениям, служба RaaS включила Brenntag и Toshiba Tec в число своих жертв. Группа заявила, что закрывается в 2021 году, но, как мы знаем, многие банды вымогателей выводят бренд из эксплуатации, перегруппировываются, а затем вновь появляются под новым именем.
КОМАНДА DAIXIN: Предположительно, команда Daixin была ответственна за кибератаку на AirAsia, совершенную в ноябре 2022 года, что привело к утечке данных о пассажирах и персонале. Кроме того, команда Daixin атаковала B & G Foods в феврале 2023 года.
DEADBOLT: Действующая с января 2022 года группа программ-вымогателей Deadbolt требует биткойны после шифрования дисков NAS QNAP. В октябре 2023 года голландская полиция обманом вынудила группу передать 150 ключей дешифрования. Тем не менее, были заявлены тысячи жертв.
DOPPELPAYMER: предполагаемый ребрендинг BitPaymer, DoppelPaymer, имел тенденцию наносить удары по организациям здравоохранения, образования и службам экстренной помощи. После разгрома немецкой больницы прокуратура попыталась привлечь хакеров к ответственности за убийство по неосторожности, но в конечном итоге дело было прекращено из-за отсутствия доказательств. Считается, что банда переименовалась в Grief Group.
EVIL CORP: Известная своей атакой на CNA Financial, Evil Corp – это группа, которая, как считается, базируется в России. В июле 2022 прошлого года Microsoft связала использование червя Raspberry Robin и вредоносного ПО FakeUpdates с бандой.
FIN7 / SANGRIA TEMPEST: FIN7 – печально известная российская хакерская группа, которая возродилась в мае. Ранее банда внедрила программы-вымогатели REvil и Maze, теперь использует программу-вымогатель CL0p в целевых атаках.
GRIEF GROUP: Подозреваемая в том, что является ребрендингом DoppelPaymer и также известная как PayOrGrief, банда сумела добиться выплаты выкупа в размере более 10 миллионов долларов всего через несколько месяцев после запуска. Помимо ребрендинга, Европол провел обыски в домах лиц, подозреваемых в организации атак доппельпаймеров.
HARDBIT: Впервые появившийся в октябре 2022 года, HardBit выводит переговоры на новый уровень. Банда попытается убедить своих жертв раскрыть информацию о полисе киберстрахования, чтобы можно было потребовать выкуп в рамках параметров выплаты.
HELLOKITTY / FIVEHANDS: HelloKitty / FiveHands, вероятно, украинец и имеющий связи с российскими киберпреступниками, наиболее известен кражей информации у разработчика игр CD Projekt Red. HelloKitty начнет DDoS-атаки против жертв, которые отказываются платить.
HIVE: Hive использует RaaS-сервис как минимум с 2021 года. Участники Hive стали жертвами по меньшей мере 1500 компаний по всему миру, получив в виде платежей не менее 100 миллионов долларов США. В 2023 году Министерство юстиции США объявило о проникновении ФБР в сеть Hive, демонтаже ее инфраструктуры и передаче жертвам более 300 ключей дешифрования.
ПРОМЫШЛЕННЫЙ ШПИОН: Industrial Spy появился в апреле 2022 года и будет либо красть данные только для вымогательства, либо осуществлять кражу и внедрять программу-вымогатель.
LACE TEMPEST: Microsoft считает, что Lace Tempest является аффилированным лицом программы-вымогателя CL0p. Было замечено, что группа программ-вымогателей использует эксплойты GoAnywhere, Raspberry Robin dropper, маяки Cobalt Strike и эксплойты против системы управления принтерами PaperCut в атаках, по крайней мере, с апреля. Lace Tempest также была связана с эксплуатацией MOVEit.
LAPSUS $: LAPSUS $ была печально известной группой, которая проводила хакерские атаки с двойным вымогательством, заявляя о громких жертвах, включая Microsoft, Nvidia и Okta. 16-летний подросток из Великобритании, который все еще жил со своей матерью, больше не активен, но подозревается в том, что он является лидером, а другой предполагаемый участник был арестован в Бразилии.
LOCKBIT: По данным Digital Shadows, показатели заражения LockBit значительно превосходят все остальные группы, на их долю приходится более 30 процентов всех зарегистрированных заражений. LockBit взяла на себя ответственность за атаку на британскую службу Royal Mail в январе. Хотя Darktrace отрицает эти утверждения, LockBit может похвастаться проникновением в системы фирмы по кибербезопасности. Недавно LockBit начал нацеливаться на устройства Apple macOS, и в последнее время наблюдается всплеск атак на правительственные учреждения США.
MALASLOCKER: Появившись в марте 2023 года, MalasLocker пытается изобразить себя Робин Гудом, выставляя требования выкупа в виде пожертвований на благотворительность в обмен на инструмент дешифрования и для предотвращения публичной утечки украденных данных.
MEDUSA: В этом году Medusa активизировала свою деятельность с помощью серии атак, требований на миллионы долларов и запуска сайта утечки. Австралийский центр лечения рака получил требование в размере 100 000 долларов США в мае 2023 года. “Медуза” также слила то, что предположительно является исходным кодом Microsoft. В сентябре 2023 года Национальная комиссия по защите частной жизни (NPC) получила уведомление от Philippine Health Insurance (PhilHealth) о предполагаемой атаке программы-вымогателя Medusa.
MEDUSALOCKER: Не путать с вышеупомянутой группой Medusa, преступники MedusaLocker используют уязвимые конфигурации протокола удаленного рабочего стола (RDP) и в первую очередь нацелены на организации здравоохранения. Для этих преступников пандемия COVID-19 предоставила возможность расширить свою деятельность.
ДЕНЕЖНОЕ СООБЩЕНИЕ: Money Message взяло на себя ответственность за взлом и кражу исходного кода от Micro-Star International (MSI), а скриншоты украденных данных позже были размещены на сайте утечки.
MORTALKOMBAT: MortalKombat – это программа-вымогатель, распространяемая через фишинговые электронные письма на тему криптовалют. Поскольку программа-вымогатель была обнаружена только в начале 2023 года, в настоящее время мало что известно об угрозах, стоящих за ней, за исключением того, что большинство жертв находятся в США, это не помешало исследователям выпустить инструмент расшифровки.
NETWALKER: В 2020 году Netwalker атаковал Калифорнийский университет в Сан-Франциско. Чтобы спасти свои исследования, учебное заведение заплатило группе 1,14 миллиона долларов США. Гражданин Канады и филиал этой группы был приговорен к 20 годам тюремного заключения.
НЕВАДА: В феврале 2023 года внезапное появление новой банды вымогателей, получившей название Nevada, привлекло внимание исследователей. По сообщениям, группа пыталась скомпрометировать примерно 5000 систем, принадлежащих организациям, начиная от судоходных и заканчивая строительными фирмами.
NoEscape NOESCAPE:, предположительно являющаяся преемницей Аваддона, была запущена в июне 2023 года и стала нацеливаться на организации с двойным вымогательством. Некоторые требования о выкупе достигают более 10 миллионов долларов США.
NOKOYAWA: Nokoyawa – относительно новая запись, которая все еще изучается исследователями. Группа подозревается в связи с Hive, которая попала в заголовки газет в 2021 году после взлома примерно 400 организаций. Киберпреступники воспользовались уязвимостью нулевого дня в Microsoft Windows для развертывания полезных нагрузок Nokoyawa до их исправления.
ONYX: Операторы Onyx сосредоточены на США Эта группа проводит атаки с двойным вымогательством и может уничтожать данные, а не шифровать их. Министерство иностранных дел Гватемалы было добавлено в список жертв сайта утечки Onyx в 2022 году.
PANDORA: Pandora, подозреваемая в ребрендинге ROOK, в 2022 году нацелилась на крупные организации, включая автомобильный гигант Denso Corp.
PLAY: Запущенная в июне 2022 года программа-вымогатель Play, связанная с атаками на судебную систему Кордовы в Аргентине и сети A10. Банда продолжает расширять свой портфель оружия, недавно представив два новых пользовательских инструмента в .NET. Одной из подтвержденных жертв Play является голландский судоходный гигант Royal Dirkzwager.

RA GROUP: RA Group использует утечку исходного кода Babuk для компрометации организаций в США и Южной Корее. Новая банда, действующая примерно с апреля 2023 года, заявила о жертвах в сфере производства, управления капиталом, страхования и фармацевтики — как минимум.
RAGNAR LOCKER: Ragnar Locker, как вредоносная программа, так и сама группа, находится в списке наблюдения ФБР с 2020 года. Группа атаковала организации в таких отраслях, как энергетика, инфраструктура и финансовые услуги, а также совершила неуместную атаку на голландскую полицию. Израильская больница Майаней Хайешуа – одна из последних жертв, появившихся на сайте утечки Ragnar Locker.
RANSOMED.VC: Отчеты предполагают, что новички в этой области, Ransomed.vc утверждали, что проникли в Sony systems в сентябре и предлагали украденные данные для продажи в Dark Web, но доказательств было мало. Другой участник угрозы, Майорнельсон, опроверг эти утверждения и опубликовал большой набор данных, взяв на себя ответственность. Sony проводит расследование.
RANSOMEXX: RansomEXX появился в 2018 году под названием Defray777 и остается активным по сей день. Служба RaaS имеет связи с Gold Dupont group. По данным Trend Micro, программа-вымогатель стала первым случаем распространения крупной разновидности Windows на Linux. В мартовском сообщении об утечке данных, сделанном группой, утверждалось, что Ferrari была среди ее жертв.
RHYSIDA: Rhysida утверждает, что является “командой кибербезопасности”, которая помогает организациям защищать свои сети. В реальности операция RaaS нацелена на образование, правительство, производство и технологии, но об этой группе известно немногим больше, кроме сообщений о том, что Rhysia успешно атаковала правительство Кувейта.
ROYAL: Впервые обнаруженный в 2022 году, Royal, похоже, сосредоточен на секторе здравоохранения, требуя выплаты миллионов долларов в виде шантажа после успешных атак. Royal, похоже, является частной преступной группировкой, а не службой RaaS. Royal причинила значительный ущерб правительственным системам, принадлежащим городу Даллас, используя украденную учетную запись для первоначального входа.
RYUK: Появившаяся в 2018 году программа-вымогатель Ryuk была подключена к операторам ботнетов Emotet и Trickbot. Эта программа-вымогатель использовалась до того, как группа, стоящая за кампаниями Ryuk, Wizard Spider, перешла на Conti. Гражданин России, экстрадированный в США в 2022 году, признал себя виновным в отмывании доходов от выплат выкупа Рюку. Крипто-брокеру, связанному с Ryuk, был вынесен мягкий приговор после признания вины.
SANDWORM: поддерживаемая россией программа Sandworm запустила новую программу-вымогательницу RansomBoggs против украинских организаций. Также известная как BlackEnergy, эта группа не занимается конкретно программами-вымогателями; скорее, известно, что она также использует вредоносное ПО wiper против своих целей и информационный сервис Android под названием Infamous Chisel. В начале 2023 года в вредоносное ПО Sandworm были добавлены новые деструктивные функции.
SHADOWSYNDICATE: Ранее известная как Infra Storm, ShadowSyndicate впервые появилась в июле 2022 года и является необычным филиалом RaaS, на сегодняшний день использующим по меньшей мере семь различных семейств программ-вымогателей. С высокой степенью достоверности были установлены соединения с Quantum, Nokoyawa и Alphv.
SNATCH: программа-вымогатель Snatch, действующая в течение многих лет, переводит скомпрометированный компьютер в режим перезагрузки перед выполнением шифрования. Среди зарегистрированных атак – инцидент с участием калифорнийского города Модесто и школы в Висконсине. Однако эксперт по безопасности Брайан Кребс недавно сообщил, что группа раскрывает данные, касающиеся ее местоположения и операций.
SODINOKIB / REvil: Sodinokibi, или REvil, – русскоязычная группа, специализирующаяся на особо ценных целях. Среди прошлых жертв была Касея. В марте 2022 года Министерство юстиции США предъявило обвинение предполагаемому члену группы за участие в атаке. Недавний анализ предполагает, что REvil, возможно, снова находится в активной разработке.
SOPHOSENCRYPT: Первоначально считавшийся частью проекта red team фирмы по кибербезопасности Sophos, SophosEncrypt представляет собой операцию RaaS, предоставляющую шифровальщик, написанный на языке Rust.
ТАНОС: Служба RaaS Thanos и “создай свое собственное” программное обеспечение-вымогатель были созданы группой из одного человека и лицензированы венесуэльским врачом. Расследование ФБР привело к его аресту.
ОБЩЕСТВО ПОРОКА: Появившись на сцене в 2021 году, Общество порока – это группа, которая использует тактику двойного вымогательства против организаций-жертв. Однако группа не разрабатывает собственное вредоносное ПО; вместо этого она предпочитает полагаться на коммерческие вредоносные программы. В этом году Vice Society сосредоточилась на атаках на британские школы и производственные компании.
YASHMA / CHAOS: Yashma потенциально является ребрендом Chaos, хотя генеалогическое древо разработки неясно. Исследователи считают эту разновидность программ—вымогателей — и ее пользователей, группу Onyx – опасной, учитывая ее гибкость. Среди ее жертв – службы экстренной помощи США.
YANLUOWANG: Банда программ-вымогателей Yanluowang была связана с подтвержденной атакой на Cisco в мае 2022 года. Yanluowang добавила технологического гиганта на свой сайт утечки, заявив о краже 2,75 ГБ украденных данных.
ZEPPELIN: Zeppelin, производная от семейства вредоносных программ Vega на базе Delphi, представляет собой сервис RaaS, который, как известно, нацелен на корпоративные компании, здравоохранение и медицинские организации с 2019 года.

ЗАЩИТА ОТ ПРОГРАММ-ВЫМОГАТЕЛЕЙ

Существует множество способов защитить себя и свою организацию от программ-вымогателей, но для современного бизнеса вопрос заключается не в том, произойдет ли кибератака или нарушение, а в том, когда это произойдет.

Организации могут применять различные методы повышения уровня своей безопасности. Корпорация Майкрософт заявляет, что 98 процентов атак можно избежать, внедрив базовые методы обеспечения киберустойчивости, в том числе:

Поддержание операционных систем и программного обеспечения в актуальном состоянии
Анализ риска появления новых уязвимостей и оперативное исправление
Осведомленность и обеспечение обучения сотрудников распознаванию попыток фишинга и социальной инженерии
Включение многофакторной аутентификации в учетных записях пользователей. Рассмотрим Yubikeys и биометрические данные
Избегание подозрительных веб-сайтов и внедрение брандмауэров
Внедрение политики нулевого доверия в управление пользователями
Поддержание регулярных автономных резервных копий отдельно от ваших основных систем
Создание плана реагирования на инцидент с учетом ограничения ущерба, судебной экспертизы и юридических аспектов