Ransomware on merkittävä uhkavektori, joka maksaa yrityksille, yrityksille ja infrastruktuurin ylläpitäjille miljardeja dollareita vuosittain. Näiden uhkien takana ovat ammattimaiset kiristysohjelmajoukot, jotka luovat ja levittävät haittaohjelmia, jotka mahdollistavat hyökkäykset.
Jotkut näistä ryhmistä hyökkäävät suoraan uhreja vastaan, kun taas toiset käyttävät suosittua Ransomware-as-a-Service (RaaS) -mallia, jonka avulla tytäryhtiöt voivat kiristää tiettyjä organisaatioita.
Kiristysohjelmien uhan kasvaessa jatkuvasti, vihollisen ja sen toiminnan tunteminen on ainoa tapa pysyä edellä. Joten tässä on luettelo viidestä tappavimmasta kiristysohjelmaryhmästä, jotka häiritsevät kyberturvallisuusmaisemaa.
1. REvil
REvil ransomware Group, alias Sodinokibi, on Venäjällä toimiva ransomware-as-a-service (RaaS) operaatio, joka ilmestyi ensimmäisen kerran huhtikuussa 2019. Sitä pidetään yhtenä häikäilemättömimmistä kiristysohjelmaryhmistä, jolla on linkkejä Venäjän liittovaltion palveluvirastoon (FSB).
Ryhmä herätti nopeasti kyberturva-ammattilaisten huomion teknisellä kyvykkyydellä ja rohkeudellaan mennä korkean profiilin kohteiden perään. Vuosi 2021 oli konsernin kannattavin vuosi, koska se kohdistui useisiin monikansallisiin yrityksiin ja häiritsi useita toimialoja.
Suurimmat uhrit
Maaliskuussa 2021, REvil hyökkäsi elektroniikka- ja laitteistoyhtiö Aceria vastaan ja vaaransi sen palvelimet. Hyökkääjät vaativat 50 miljoonaa dollaria salauksen purkuavaimesta ja uhkasivat nostaa lunnaita 100 miljoonaan dollariin, jos yritys ei täytä ryhmän vaatimuksia.
Kuukautta myöhemmin ryhmä teki toisen korkean profiilin hyökkäyksen Applen toimittajaa Quanta Computersia vastaan. Se yritti kiristää sekä Quantaa että Applea, mutta kumpikaan yhtiö ei maksanut vaadittua 50 miljoonan dollarin lunnaita.
REvil ransomware -ryhmä jatkoi hakkerointia ja kohdistui JBS Foodsiin, Invenergyyn, Kaseyaan ja useisiin muihin yrityksiin. JBS Foods joutui väliaikaisesti sulkemaan toimintansa ja maksoi arviolta 11 miljoonan dollarin lunnaat Bitcoinina toiminnan jatkamiseksi.
The Kaseya hyökkäys toi ryhmään ei-toivottua huomiota, koska se vaikutti suoraan yli 1 500 yritykseen maailmanlaajuisesti. Diplomaattisen painostuksen seurauksena Venäjän viranomaiset pidättivät useita ryhmän jäseniä tammikuussa 2022 ja takavarikoivat omaisuutta miljoonien dollareiden arvosta. Mutta tämä häiriö oli lyhytaikainen REvil ransomware -jengi on jälleen toiminnassa huhtikuusta 2022 lähtien.
2. Conti
Conti on toinen surullisen ransomware-jengi, joka on noussut otsikoihin vuoden 2018 lopusta lähtien. Se käyttää kaksinkertainen kiristysmenetelmä, mikä tarkoittaa, että ryhmä pidättelee salauksen purkuavainta ja uhkaa vuotaa arkaluontoisia tietoja, jos lunnaita ei makseta. Sillä on jopa vuotosivusto Conti News, joka julkaisee varastetut tiedot.
Se, mikä tekee Contin muista kiristysohjelmaryhmistä poikkeavan, on eettisten rajoitusten puute sen kohteille. Se teki useita hyökkäyksiä koulutus- ja terveydenhuoltosektorilla ja vaati miljoonia dollareita lunnaita.
Suurimmat uhrit
Conti ransomware -konsernilla on pitkä historia kriittisiin julkisiin infrastruktuureihin, kuten terveydenhuoltoon, energiaan, tietotekniikkaan ja maatalouteen. Joulukuussa 2021 ryhmä ilmoitti vaarantuneensa Indonesian keskuspankin ja varastaneensa arkaluonteisia tietoja 13,88 Gt.
Helmikuussa 2022 Conti hyökkäsi kansainvälisen terminaalioperaattorin SEA-investin kimppuun. Yhtiö operoi 24 merisatamaa eri puolilla Eurooppaa ja Afrikkaa ja on erikoistunut kuivan irtolastin, hedelmien ja elintarvikkeiden, nestemäisen irtolastin (öljy ja kaasu) ja konttien käsittelyyn. Hyökkäys vaikutti kaikkiin 24 satamaan ja aiheutti merkittäviä häiriöitä.
Conti oli myös vaarantanut Broward Countyn julkiset koulut huhtikuussa ja vaatinut 40 miljoonan dollarin lunnaita. Ryhmä vuotanut varastettuja asiakirjoja blogissaan sen jälkeen, kun piiri kieltäytyi maksamasta lunnaita.
Viime aikoina Costa Rican presidentti joutui julistamaan kansallisen hätätilan Contin useisiin valtion virastoihin kohdistuneiden hyökkäysten seurauksena.
3. Pimeä puoli
DarkSide ransomware -ryhmä noudattaa RaaS-mallia ja kohdistaa suuret yritykset kiristämään suuria rahasummia. Se tekee sen pääsemällä yrityksen verkkoon, yleensä tietojenkalastelulla tai raa'alla voimalla, ja salaa kaikki verkossa olevat tiedostot.
DarkSide lunnasohjelmaryhmän alkuperästä on useita teorioita. Jotkut analyytikot uskovat, että se sijaitsee Itä-Euroopassa, jossain Ukrainassa tai Venäjällä. Toiset uskovat, että ryhmällä on franchising-sopimuksia useissa maissa, mukaan lukien Iranissa ja Puolassa.
Suurimmat uhrit
DarkSide-ryhmä vaatii valtavia lunnaita, mutta väittää, että sillä on käytännesäännöt. Ryhmä väittää, että se ei koskaan kohdistu kouluihin, sairaaloihin, valtion instituutioihin ja mihinkään infrastruktuuriin, joka vaikuttaa yleisöön.
Kuitenkin toukokuussa 2021 DarkSide toteutti Colonial Pipeline -hyökkäys ja vaati 5 miljoonaa dollaria lunnaita. Se oli Yhdysvaltojen historian suurin kyberhyökkäys öljyinfrastruktuuriin ja häiritsi bensiinin ja lentopetrolin toimitusta 17 osavaltiossa.
Tapaus herätti keskustelua kriittisen infrastruktuurin turvallisuudesta ja siitä, kuinka hallitusten ja yritysten on suojeltava niitä entistä huolellisemmin.
Hyökkäyksen jälkeen DarkSide-ryhmä yritti tyhjentää nimensä syyttämällä hyökkäyksestä kolmansia osapuolia. Kuitenkin mukaan Washington Post, ryhmä päätti lopettaa toimintansa Yhdysvaltojen lisääntyneen paineen jälkeen.
4. DoppelPaymer
DoppelPaymer ransomware on BitPaymer ransomwaren seuraaja, joka ilmestyi ensimmäisen kerran huhtikuussa 2019. Se käyttää epätavallista tapaa kutsua uhreja ja vaatia lunnaita bitcoineina.
DoppelPaymer väittää olevansa Pohjois-Koreassa ja noudattaa kaksinkertaisen kiristyksen ransomware -mallia. Ryhmän aktiivisuus laski viikkoja Colonial Pipeline -hyökkäyksen jälkeen, mutta analyytikot uskovat, että se nimesi itsensä uudelleen Grief-ryhmäksi.
Suurimmat uhrit
DopplePaymer kohdistuu usein öljy-yhtiöihin, autonvalmistajiin ja kriittisiin teollisuudenaloihin, kuten terveydenhuoltoon, koulutukseen ja hätäpalveluihin. Se on ensimmäinen kiristysohjelma, joka aiheutti potilaan kuoleman Saksassa sen jälkeen, kun ensiapuhenkilöstö ei voinut olla yhteydessä sairaalaan.
Ryhmä nousi otsikoihin julkaisessaan äänestäjätietoja Hall Countysta, Georgiasta. Viime vuonna se vaaransi myös Kia Motors American asiakkaille suunnatut järjestelmät ja varasti arkaluontoisia tietoja. Ryhmä vaati 404 bitcoinia lunnaiksi, mikä vastasi noin 20 miljoonaa dollaria tuolloin.
5. LockBit
LockBit on viime aikoina ollut yksi näkyvimmistä kiristyshaittaohjelmista muiden ryhmien laskun ansiosta. LockBit on ensimmäisen ilmestymisensä jälkeen vuonna 2019 nähnyt ennennäkemättömän kasvun ja kehittänyt taktiikkaansa merkittävästi.
LockBit aloitti alun perin matalan profiilin jenginä, mutta saavutti suosion LockBit 2.0:n julkaisun myötä vuoden 2021 lopulla. Ryhmä noudattaa RaaS-mallia ja käyttää kaksinkertaista kiristystaktiikkaa kiristääkseen uhreja.
Suurimmat uhrit
LockBit on tällä hetkellä vaikuttava kiristysohjelmaryhmä, jonka osuus kaikista kiristysohjelmahyökkäyksistä toukokuussa 2022 oli yli 40 prosenttia. Se hyökkää organisaatioita vastaan Yhdysvalloissa, Kiinassa, Intiassa ja Euroopassa.
Aiemmin tänä vuonna LockBit kohdistui Thales Groupiin, ranskalaiseen monikansalliseen elektroniikkayhtiöön, ja uhkasi vuotaa arkaluonteisia tietoja, jos yritys ei täytä konsernin lunnaita koskevia vaatimuksia.
Se vaaransi myös Ranskan oikeusministeriön ja salasi heidän tiedostonsa. Ryhmä väittää nyt rikkoneensa Italian verovirastoa (L'Agenzia delle Entrate) ja varasti 100 Gt tietoa.
Ransomware-hyökkäyksiä vastaan suojautuminen
Ransomware on edelleen kukoistava musta markkinateollisuus, joka tuottaa miljardeja dollareita tuloja näille pahamaineisille ryhmille vuosittain. RaaS-mallin taloudelliset hyödyt ja lisääntyvä saatavuus huomioon ottaen uhat vain kasvavat.
Kuten kaikkien haittaohjelmien kohdalla, valppaus ja asianmukaisten tietoturvaohjelmistojen käyttö ovat askeleita oikeaan suuntaan kiristysohjelmien torjuntaan. Jos et ole vielä valmis investoimaan ensiluokkaiseen suojaustyökaluun, voit käyttää Windowsin sisäänrakennettuja kiristysohjelmien suojaustyökaluja pitääksesi tietokoneesi turvassa.