15 przykładów niedawnych ataków ransomware
Trend Micro: zmniejszanie ryzyka związanego z oprogramowaniem ransomware dzięki proaktywnemu zarządzaniu powierzchnią ataku
15 Przykłady ransomware
Ransomware to złośliwe oprogramowanie, które szyfruje ważne pliki w pamięci lokalnej i sieciowej i wymaga okupu w celu odszyfrowania plików. Hakerzy tworzą tego typu oprogramowanie w celu wyłudzenia pieniędzy przez szantaż.
Oprogramowanie ransomware jest zaszyfrowane, co oznacza, że nie da się zdobyć klucza, a jedynym sposobem na odzyskanie informacji jest przywrócenie ich z kopii zapasowej.
Sposób działania oprogramowania ransomware sprawia, że jest ono wyjątkowo szkodliwe. Inne rodzaje malware niszczą lub kradną dane, ale nie zamykają drogi do ich odzyskania. Natomiast w przypadku ransomware, jeśli zaatakowany podmiot nie ma kopii zapasowej danych, aby je odzyskać, musi zapłacić okup. Zdarza się, że firma płaci okup, a haker i tak nie przekazuje klucza do rozszyfrowania.
RansomHub
RansomHub to młoda grupa Ransomware-as-a-Service (RaaS) wykryta po raz pierwszy w lutym 2024 r. i śledzona przez Trend Micro jako Water Bakunawa. Szybko zyskała popularność ze względu na taktykę „polowania na duże gry”. Ofiarą ofiar, które z większym prawdopodobieństwem płacą duże okupy, aby ograniczyć przestoje w działalności biznesowej spowodowane atakiem ransomware. Docierają do kopii zapasowych w chmurze i błędnie skonfigurowanych instancji Amazon S3, aby zagrozić dostawcom kopii zapasowych wyciekami danych, wykorzystując zaufanie między dostawcami a ich klientami.
Rhysida
Operatorzy Rhysidy, zmotywowani zyskiem finansowym, wykorzystywali ataki phishingowe jako sposób na uzyskanie początkowego dostępu, po czym Cobalt Strike jest wykorzystywany do ruchu bocznego w zainfekowanych maszynach. W lipcu 2023 r. nasza telemetria odkryła, że oprogramowanie ransomware Rhysida używało PsExec do dostarczenia skryptu, wykrytego jako SILENTKILL, w celu zakończenia programów antywirusowych.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Akira ransomware pojawiło się w marcu 2023 r. i było znane firmom z siedzibą w USA i Kanadzie.
Miejsce wycieku Tor ma unikalny wygląd retro, który według raportu Sophos przypomina „konsole z zielonym ekranem z lat 80.”, które można obsługiwać poprzez wpisanie określonych poleceń.
WannaCry
WannaCry został po raz pierwszy wykryty w kwietniu przy użyciu usługi hostingu plików Dropbox w ramach metody propagacji.
W pierwszej połowie 2017 r. wybuch epidemii „WannaCry” uznano za najbardziej szkodliwe incydenty związane z cyberbezpieczeństwem globalnym. Te ogromne ataki typu ransomware wpłynęły na sieci szpitali, fabryk i kolei w wielu różnych krajach i pociągały za sobą poważne konsekwencje.
WannaCry rzekomo sparaliżował ponad 200 000 komputerów, w tym komputerów z narodową niemiecką koleją i siecią szpitalną Wielkiej Brytanii.
Przepływ infekcji ransomware przedstawiono na tym schemacie:
Figure 2: Infection diagram
Klapka
Clop (czasami stylizowany jako „Cl0p”) był jedną z najbardziej wymagających rodzin ransomware w latach 2020–2023. Nabrała ona sławy z powodu narażania na szwank znanych organizacji z różnych branż na całym świecie, wykorzystując wielopoziomowe techniki wymuszeń, które zaowocowały ogromnymi wypłatami na poziomie 500 milionów USD na listopad 2021 r.
8Base
Po raz pierwszy wykryto w marcu 2022 r. 8Base to aktywna grupa ransomware, która pozycjonuje się jako „proste testery penetracji”, aby uzasadnić swoją strategię podwójnego wymuszania, która obejmuje szyfrowanie danych i grożenie ujawnieniem wrażliwych informacji. Grupa przyjmuje taktykę nazywania i wstydu, twierdząc w swoim miejscu wycieku, że jest skierowana wyłącznie do organizacji, które „zaniedbały prywatność i znaczenie danych swoich pracowników i klientów” oraz ujawniają poufne dane, aby potencjalnie zaszkodzić marce i reputacji ofiary.
Trigona
Trigona ransomware, po raz pierwszy śledzone przez Trend Micro jako Water Ungaw, pojawiło się w październiku 2022 r. Jednak programy binarne ransomware były najpierw postrzegane już w czerwcu tego samego roku. Chociaż była aktywna, grupa pozycjonowała się jako prowadząca lukratywny schemat, uruchamiając globalne ataki i przychody z reklam do 20% do 50% za każdy udany atak. Grupa ta została również zgłoszona jako komunikująca się z brokerami dostępu do sieci, którzy przekazują zainfekowane dane uwierzytelniające za pośrednictwem wewnętrznych czatów rosyjskiego zanonimizowanego rynku (RAMP) i wykorzystują pozyskane informacje do uzyskania początkowego dostępu do celów.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit pojawił się we wrześniu 2019 r. jako oprogramowanie ransomware ABCD, które zostało ulepszone, aby stać się jedną z najbardziej wymagających rodzin ransomware.
Dzięki profesjonalnej działalności i silnemu programowi partnerskiemu operatorzy LockBit udowodnili, że są w tym przez długi czas. Zapoznanie się z taktyką firmy pomoże jej wzmocnić obronę przed obecnymi i przyszłymi atakami ransomware.
19 lutego 2024 r. Operation Cronos, ukierunkowana czynność organów ścigania, spowodowała przerwy w działaniu platform powiązanych z LockBit, zakłócając działanie słynnej grupy ransomware.
BlackCat
W połowie listopada 2021 r. badacze z MalwareHunterTeam, BlackCat (tzw. AlphaVM, AlphaV lub ALPHV) szybko zyskali popularność jako pierwsza profesjonalna rodzina ransomware, która została napisana w Rust, języku międzyplatformowym, który umożliwia złośliwym przestępcom łatwe dostosowywanie złośliwego oprogramowania do różnych systemów operacyjnych, takich jak Windows i Linux, zapewniając w ten sposób szeroki zakres środowisk korporacyjnych.
Ryuk Ransomware
Ransomware Ryuk to rodzina ransomware, która pojawiła się po raz pierwszy w połowie 2018 roku. W grudniu 2018 r. New York Times donosił, że Tribune Publishing padła ofiarą wirusa Ryuk, co zakłóciło procesy druku w San Diego i na Florydzie. Gazety New York Times i Wall Street Journal miały wspólną drukarnię w Los Angeles. Im również zaszkodził atak, który spowodował problemy z wydaniem sobotnich numerów.
Ryuk to wariant starszego ransomware o nazwie Hermes, który znalazł się na liście najniebezpieczniejszych wirusów typu ransomware. W globalnym raporcie na temat zagrożeń CrowdStrike za 2020 r. Ryuk stoi za trzema z dziesięciu najwyższych żądań okupu roku: 5,3 mln USD, 9,9 mln USD oraz 12,5 mln USD. Ryuk z powodzeniem atakuje firmy z różnych branż na całym świecie. Atakowanie dużych firm hakerzy nazywają „polowaniem na grubego zwierza” (big game hunting – BGH).
Hakerzy pozostawiają w systemie losowe zapiski w plikach typu RyukReadMe.txt czy UNIQUE_ID_DO_NOT_REMOVE.txt, które wyglądają, jak pokazano na poniższym zrzucie ekranu.
Source: Malwarebytes
Czarny Basta
Black Basta to grupa ransomware działająca jako ransomware-as-a-service (RaaS), która została pierwotnie zauważona w kwietniu 2022 r. Od tego czasu okazała się poważnym zagrożeniem, co można udowodnić na podstawie taktyki podwójnego wymuszenia i rozszerzenia arsenału ataku o narzędzia takie jak Qakbot trojan i PrintNightmare exploit.
Królewskie
Royal ransomware docierało do kręgów badaczy w mediach społecznościowych we wrześniu 2022 r. po opublikowaniu artykułu na temat cyberbezpieczeństwa, w którym opisano, jak cyberprzestępcy stojący za grupą ransomware atakowali wiele korporacji za pomocą ukierunkowanych technik phishingu typu callback.
Figure 5: Royal ransomware’s attack flow
Woda Ouroboros
Water Ouroboros (nazywana Hunters International) to grupa Ransomware-as-a-Service (RaaS), która pojawiła się po raz pierwszy w październiku 2023 r. Uważa się, że istnieje możliwość wydzielenia oprogramowania Hive Ransomware, które w styczniu 2023 r. zostało zakłócone przez Federalne Biuro Śledcze (Federal Bureau of Investigation, FBI).
Początkowo podejrzewano, że grupa Water Ouroboros jest tą samą grupą, za którą stoi Hive ze względu na wiele podobieństw w narzędziach, taktykach i procedurach (TTP). Jednak Water Ouroboros odmówiła połączenia, twierdząc, że zamiast tego nabyli infrastrukturę Hive i okup binarny.
Pokrzywka
15 sierpnia 2021 r. atak ransomware na zintegrowany system opieki zdrowotnej organizacji non-profit poważnie zakłócił działalność kliniczną i finansową trzech szpitali w Ohio i Wirginii Zachodniej. Atak doprowadził do przekierowania i anulowania pilnych przypadków chirurgicznych i badań radiologicznych na oddziałach ratunkowych. Szyfrowanie plików zmusiło personel szpitala do korzystania z kart papierowych. Oprócz tych trzech szpitali organizacja non-profit, której dotyczy problem, prowadzi również kilka placówek ambulatoryjnych i klinik, zatrudniających łącznie 3000 pracowników.
Trend Micro Ransomware Protection
W ubiegłym roku 83% organizacji doświadczyło wielu naruszeń, z których każde kosztowało 4,4 miliona dolarów, podczas gdy zmniejszenie narażenia na ryzyko przyniosło średnie oszczędności w wysokości 1,3 miliona dolarów.
Cyber Risk Exposure Management, część naszej platformy cyberbezpieczeństwa dla przedsiębiorstw Trend Vision One™, radykalnie zmniejsza ryzyko cybernetyczne dzięki ciągłemu wykrywaniu, ocenom w czasie rzeczywistym i zautomatyzowanemu łagodzeniu skutków w środowiskach chmurowych, hybrydowych lub lokalnych.
Related Research
Related Article