4 самые опасные и разрушительные группы программ-вымогателей в 2022 году
28 июля 2023 г.2022 год стал еще одним годом, когда программы-вымогатели оказались одной из самых пагубных киберугроз в мире. Банды вымогателей, нацеленные на жертв как крупных, так и мелких, показали, что они все еще могут сеять хаос, несмотря на усилия правоохранительных органов и правительств по борьбе с ними.
SEE: используйте эту политику реагирования на инциденты безопасности от TechRepublic Premium.
Хотя множество этих преступных групп засоряют киберпространство, некоторые из них были особенно опасны и разрушительны в своих атаках программ-вымогателей в течение года. Вот четыре из этих групп программ-вымогателей.
Перейти к:
- АЛЬФВ (БлэкКэт)
Черная Баста
Улей
ЛокБит
Почему эти группы вымогателей так опасны?
Как организации могут защитить себя от атак программ-вымогателей?
АЛЬФВ (БлэкКэт)
ALPHV, также известная как BlackCat, специализируется на программах-вымогателях как на услуге, с помощью которой она предлагает необходимые вредоносные программы и инфраструктуру партнерам, которые затем осуществляют фактические атаки. Несмотря на то, что ALPHV кажется новичком в среде программ-вымогателей, появившись в 2021 году, он, как сообщается, связан с группой BlackMatter/DarkSide, ответственной за печально известную атаку программ-вымогателей на Colonial Pipeline в 2021 году.
Как ALPHV осуществляет атаки программ-вымогателей?
Внедряясь в своих жертв, используя известные бреши в системе безопасности или уязвимые учетные данные, ALPHV вынуждает организации платить выкуп, запуская против них распределенные атаки типа «отказ в обслуживании». Группе также нравится публично выставлять украденные файлы через поисковую систему на предмет утечек данных своих жертв.
На кого нацелен ALPHV?
По словам Брэда Кромптона, директора по разведке поставщика информации о киберугрозах Intel 471, ALPHV нацелен на государственные и некоммерческие организации, а также на крупные корпорации.
В третьем квартале 2022 года этот вариант программы-вымогателя поразил 30 организаций, затронув предприятия недвижимости, профессиональные услуги и консалтинговые фирмы, производителей потребительских и промышленных товаров, а также технологические компании. В сентябре ALPHV взяла на себя ответственность за атаки на аэропорты, операторов топливных трубопроводов, заправочные станции, нефтеперерабатывающие заводы и других поставщиков критически важной инфраструктуры.
Черная Баста
Сообщается, что появившаяся в апреле 2022 года группа RaaS Black Basta состоит из бывших членов банд вымогателей Conti и REvil, с которыми она использует схожие тактики, методы и процедуры. По словам Кромптона, обладая высококвалифицированными и опытными членами групп и аффилированных лиц, Black Basta все чаще получает доступ к организациям, используя неисправленные уязвимости в системе безопасности и общедоступный исходный код.
Как Black Basta осуществляет атаки программ-вымогателей?
Черный Баста часто прибегает к методам двойного вымогательства, угрожая публичной утечкой украденных данных, если не будет выплачен выкуп. Группа также использует DDoS-атаки, чтобы убедить своих жертв заплатить выкуп.
В некоторых случаях члены Black Basta требовали от своих жертв миллионы долларов, чтобы сохранить украденные данные в тайне.
На кого нацелен Черный Баста?
По данным Intel 471, атаки программ-вымогателей, исходящие от Black Basta, поразили 50 организаций в третьем квартале 2022 года. Секторы, наиболее затронутые этими атаками программ-вымогателей, включают потребительские и промышленные товары, профессиональные услуги и консалтинг, технологии и СМИ, а также медико-биологические науки и здравоохранение.
Среди разных стран самой большой целью группы в этом квартале были США, на которые пришлось 62% всех зарегистрированных атак.
Улей
Возникнув в начале 2022 года, Hive быстро заработала себе репутацию одной из самых активных групп вымогателей. Согласно мартовскому отчету NCC Cyber Threat Pulse, число атак только со стороны этой банды выросло на 188% с февраля по март 2022 года. По данным Intel 471, этот вариант программы-вымогателя также вошел в четверку наиболее часто наблюдаемых в третьем квартале года.
Как Hive проводит атаки программ-вымогателей?
Группа работает быстро, якобы шифруя от сотен мегабайт до более четырех гигабайт данных в минуту. По словам Кромптона, для проведения атак Hive нанимает тестировщиков на проникновение, брокеров доступа и злоумышленников.
В августе 2022 года предполагаемый оператор программы-вымогателя Hive сообщил об использовании фишинговых писем в качестве исходного вектора атаки.
На кого нацелен Улей?
Традиционно ориентированный на промышленный сектор, Hive также ориентируется на академические и образовательные услуги, а также на научные и медицинские компании, а также на энергетические, сырьевые и сельскохозяйственные предприятия. В третьем квартале 2022 года программа-вымогатель Hive поразила 15 стран, две основные цели — США и Великобритания соответственно.
ЛокБит
По данным Intel 471, с 192 атаками в третьем квартале 2022 года программа-вымогатель LockBit 3.0 продолжала оставаться самой заметной версией года, согласно Intel 471. Впервые анонсированная во втором квартале 2022 года, версия LockBit 3.0, как сообщается, включала обновленную утечку данных. блог, программа вознаграждения за обнаружение ошибок и новые функции самой программы-вымогателя.
По сообщению Intel 471, концепция вознаграждения за обнаружение ошибок была первой для групп вымогателей: LockBit предлагал до 1 миллиона долларов каждому, кто обнаружит уязвимости в вредоносном ПО банды, ее сайтах для позора жертв, ее сети Tor и службе обмена сообщениями.
Как LockBit осуществляет атаки программ-вымогателей?
По словам Кромптона, в отличие от других групп вымогателей, LockBit предпочитает малозаметные атаки и старается избегать заголовков. Банда постоянно развивается и адаптирует свои TTP и программное обеспечение. LockBit также использует проприетарный похититель информации под названием StealBit. Вместо типичного похитителя информации, который захватывает данные из браузеров, StealBit представляет собой захват файлов, который быстро клонирует файлы из сети жертвы в инфраструктуру, контролируемую LockBit, за короткий промежуток времени.
На кого ориентируется LockBit?
Вариант LockBit 3.0 затронул 41 страну, в первую очередь США, за которыми следуют Франция, Италия, Тайвань и Канада. Секторами, на которые LockBit больше всего повлиял, были профессиональные услуги и консалтинг, производство, потребительские и промышленные товары, а также недвижимость.
Почему эти группы вымогателей так опасны?
«Существует множество причин, по которым эти группы программ-вымогателей опасны сами по себе», — сказал Кромптон TechRepublic. «Вообще говоря, у этих групп хорошее вредоносное ПО с хорошей инфраструктурой, опытные переговорные группы и специально разработанные инструменты, которые упрощают атаки программ-вымогателей, что, в свою очередь, привлекает к их группам больше партнеров».
Как организации могут защитить себя от атак программ-вымогателей?
Чтобы помочь организациям лучше защитить себя, Кромптон делится следующими советами:
- Убедитесь, что включена многофакторная аутентификация.
Примите политику надежных паролей, которая предотвращает повторное использование старых или похожих паролей.
Отслеживайте внутренние угрозы и любой тип скомпрометированного доступа к вашей организации и третьим лицам.
Проводите частые аудиты безопасности.
Следите за всеми привилегированными учетными записями, чтобы защититься от компрометации.
Проведите тренинг по фишингу для всех сотрудников.
Не ставьте производительность выше безопасности, так как это делает вашу организацию более уязвимой для атак программ-вымогателей, создавая гораздо худший сценарий, чем снижение производительности.
SEE: узнайте больше о том, как защитить свою организацию от атак программ-вымогателей.
Оригинал