15 przykładów niedawnych ataków ransomware
Trend Micro: zmniejszanie ryzyka związanego z oprogramowaniem ransomware dzięki proaktywnemu zarządzaniu powierzchnią ataku
15 Przykłady ransomware
Ransomware to złośliwe oprogramowanie, które szyfruje ważne pliki w pamięci lokalnej i sieciowej i wymaga okupu w celu odszyfrowania plików. Hakerzy tworzą tego typu oprogramowanie w celu wyłudzenia pieniędzy przez szantaż.
Oprogramowanie ransomware jest zaszyfrowane, co oznacza, że nie da się zdobyć klucza, a jedynym sposobem na odzyskanie informacji jest przywrócenie ich z kopii zapasowej.
Sposób działania oprogramowania ransomware sprawia, że jest ono wyjątkowo szkodliwe. Inne rodzaje malware niszczą lub kradną dane, ale nie zamykają drogi do ich odzyskania. Natomiast w przypadku ransomware, jeśli zaatakowany podmiot nie ma kopii zapasowej danych, aby je odzyskać, musi zapłacić okup. Zdarza się, że firma płaci okup, a haker i tak nie przekazuje klucza do rozszyfrowania.
RansomHub
RansomHub to młoda grupa Ransomware-as-a-Service (RaaS) wykryta po raz pierwszy w lutym 2024 r. i śledzona przez Trend Micro jako Water Bakunawa. Szybko zyskała popularność ze względu na taktykę „polowania na duże gry”. Ofiarą ofiar, które z większym prawdopodobieństwem płacą duże okupy, aby ograniczyć przestoje w działalności biznesowej spowodowane atakiem ransomware. Docierają do kopii zapasowych w chmurze i błędnie skonfigurowanych instancji Amazon S3, aby zagrozić dostawcom kopii zapasowych wyciekami danych, wykorzystując zaufanie między dostawcami a ich klientami.
Rhysida
Operatorzy Rhysidy, zmotywowani zyskiem finansowym, wykorzystywali ataki phishingowe jako sposób na uzyskanie początkowego dostępu, po czym Cobalt Strike jest wykorzystywany do ruchu bocznego w zainfekowanych maszynach. W lipcu 2023 r. nasza telemetria odkryła, że oprogramowanie ransomware Rhysida używało PsExec do dostarczenia skryptu, wykrytego jako SILENTKILL, w celu zakończenia programów antywirusowych.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Akira ransomware pojawiło się w marcu 2023 r. i było znane firmom z siedzibą w USA i Kanadzie.
Miejsce wycieku Tor ma unikalny wygląd retro, który według raportu Sophos przypomina „konsole z zielonym ekranem z lat 80.”, które można obsługiwać poprzez wpisanie określonych poleceń.
WannaCry
WannaCry został po raz pierwszy wykryty w kwietniu przy użyciu usługi hostingu plików Dropbox w ramach metody propagacji.
W pierwszej połowie 2017 r. wybuch epidemii „WannaCry” uznano za najbardziej szkodliwe incydenty związane z cyberbezpieczeństwem globalnym. Te ogromne ataki typu ransomware wpłynęły na sieci szpitali, fabryk i kolei w wielu różnych krajach i pociągały za sobą poważne konsekwencje.
WannaCry rzekomo sparaliżował ponad 200 000 komputerów, w tym komputerów z narodową niemiecką koleją i siecią szpitalną Wielkiej Brytanii.
Przepływ infekcji ransomware przedstawiono na tym schemacie:
Figure 2: Infection diagram
Klapka
Clop (czasami stylizowany jako „Cl0p”) był jedną z najbardziej wymagających rodzin ransomware w latach 2020–2023. Nabrała ona sławy z powodu narażania na szwank znanych organizacji z różnych branż na całym świecie, wykorzystując wielopoziomowe techniki wymuszeń, które zaowocowały ogromnymi wypłatami na poziomie 500 milionów USD na listopad 2021 r.
8Base
Po raz pierwszy wykryto w marcu 2022 r. 8Base to aktywna grupa ransomware, która pozycjonuje się jako „proste testery penetracji”, aby uzasadnić swoją strategię podwójnego wymuszania, która obejmuje szyfrowanie danych i grożenie ujawnieniem wrażliwych informacji. Grupa przyjmuje taktykę nazywania i wstydu, twierdząc w swoim miejscu wycieku, że jest skierowana wyłącznie do organizacji, które „zaniedbały prywatność i znaczenie danych swoich pracowników i klientów” oraz ujawniają poufne dane, aby potencjalnie zaszkodzić marce i reputacji ofiary.
Trigona
Trigona ransomware, po raz pierwszy śledzone przez Trend Micro jako Water Ungaw, pojawiło się w październiku 2022 r. Jednak programy binarne ransomware były najpierw postrzegane już w czerwcu tego samego roku. Chociaż była aktywna, grupa pozycjonowała się jako prowadząca lukratywny schemat, uruchamiając globalne ataki i przychody z reklam do 20% do 50% za każdy udany atak. Grupa ta została również zgłoszona jako komunikująca się z brokerami dostępu do sieci, którzy przekazują zainfekowane dane uwierzytelniające za pośrednictwem wewnętrznych czatów rosyjskiego zanonimizowanego rynku (RAMP) i wykorzystują pozyskane informacje do uzyskania początkowego dostępu do celów.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit pojawił się we wrześniu 2019 r. jako oprogramowanie ransomware ABCD, które zostało ulepszone, aby stać się jedną z najbardziej wymagających rodzin ransomware.
Dzięki profesjonalnej działalności i silnemu programowi partnerskiemu operatorzy LockBit udowodnili, że są w tym przez długi czas. Zapoznanie się z taktyką firmy pomoże jej wzmocnić obronę przed obecnymi i przyszłymi atakami ransomware.
19 lutego 2024 r. Operation Cronos, ukierunkowana czynność organów ścigania, spowodowała przerwy w działaniu platform powiązanych z LockBit, zakłócając działanie słynnej grupy ransomware.
BlackCat
W połowie listopada 2021 r. badacze z MalwareHunterTeam, BlackCat (tzw. AlphaVM, AlphaV lub ALPHV) szybko zyskali popularność jako pierwsza profesjonalna rodzina ransomware, która została napisana w Rust, języku międzyplatformowym, który umożliwia złośliwym przestępcom łatwe dostosowywanie złośliwego oprogramowania do różnych systemów operacyjnych, takich jak Windows i Linux, zapewniając w ten sposób szeroki zakres środowisk korporacyjnych.
Ryuk Ransomware
Ransomware Ryuk to rodzina ransomware, która pojawiła się po raz pierwszy w połowie 2018 roku. W grudniu 2018 r. New York Times donosił, że Tribune Publishing padła ofiarą wirusa Ryuk, co zakłóciło procesy druku w San Diego i na Florydzie. Gazety New York Times i Wall Street Journal miały wspólną drukarnię w Los Angeles. Im również zaszkodził atak, który spowodował problemy z wydaniem sobotnich numerów.
Ryuk to wariant starszego ransomware o nazwie Hermes, który znalazł się na liście najniebezpieczniejszych wirusów typu ransomware. W globalnym raporcie na temat zagrożeń CrowdStrike za 2020 r. Ryuk stoi za trzema z dziesięciu najwyższych żądań okupu roku: 5,3 mln USD, 9,9 mln USD oraz 12,5 mln USD. Ryuk z powodzeniem atakuje firmy z różnych branż na całym świecie. Atakowanie dużych firm hakerzy nazywają „polowaniem na grubego zwierza” (big game hunting – BGH).
Hakerzy pozostawiają w systemie losowe zapiski w plikach typu RyukReadMe.txt czy UNIQUE_ID_DO_NOT_REMOVE.txt, które wyglądają, jak pokazano na poniższym zrzucie ekranu.
Source: Malwarebytes
Czarny Basta
Black Basta to grupa ransomware działająca jako ransomware-as-a-service (RaaS), która została pierwotnie zauważona w kwietniu 2022 r. Od tego czasu okazała się poważnym zagrożeniem, co można udowodnić na podstawie taktyki podwójnego wymuszenia i rozszerzenia arsenału ataku o narzędzia takie jak Qakbot trojan i PrintNightmare exploit.
Królewskie
Royal ransomware docierało do kręgów badaczy w mediach społecznościowych we wrześniu 2022 r. po opublikowaniu artykułu na temat cyberbezpieczeństwa, w którym opisano, jak cyberprzestępcy stojący za grupą ransomware atakowali wiele korporacji za pomocą ukierunkowanych technik phishingu typu callback.
Figure 5: Royal ransomware’s attack flow
Petya
Petya to stare, istniejące oprogramowanie ransomware, które pojawiło się po raz pierwszy w 2016 r. Wiadomo, że zastępuje główny rekord rozruchowy systemu (MBR), blokując użytkowników z ich maszyn niebieskim ekranem śmierci (BSoD). W przypadku Petyi ekran BSoD służy do wyświetlania okupu.
Pokrzywka
15 sierpnia 2021 r. atak ransomware na zintegrowany system opieki zdrowotnej organizacji non-profit poważnie zakłócił działalność kliniczną i finansową trzech szpitali w Ohio i Wirginii Zachodniej. Atak doprowadził do przekierowania i anulowania pilnych przypadków chirurgicznych i badań radiologicznych na oddziałach ratunkowych. Szyfrowanie plików zmusiło personel szpitala do korzystania z kart papierowych. Oprócz tych trzech szpitali organizacja non-profit, której dotyczy problem, prowadzi również kilka placówek ambulatoryjnych i klinik, zatrudniających łącznie 3000 pracowników.
Trend Micro Ransomware Protection
W ubiegłym roku 83% organizacji doświadczyło wielu naruszeń, z których każde kosztowało 4,4 miliona dolarów, podczas gdy zmniejszenie narażenia na ryzyko przyniosło średnie oszczędności w wysokości 1,3 miliona dolarów.
Trend Vision One™ - Attack Surface Risk Management (ASRM) radykalnie zmniejsza ryzyko cybernetyczne dzięki ciągłemu wykrywaniu, ocenom w czasie rzeczywistym i zautomatyzowanemu łagodzeniu skutków w środowiskach chmurowych, hybrydowych lub lokalnych.
Related Research
Related Article