Hakerska lista przebojów. Najbardziej szkodliwe ransomware w 2021. Przewodnik od CSO’s

Także grupy przestępcze mają swoje trendy „rozwijania biznesu” i talent do chwytliwych marketingowo nazw. Niech nie zmylą Państwa wpadające w ucho nazwy: to nie jest lista przebojów, choć notowane na niej grupy dostarczyły skrajnych emocji tysiącom ludzi i przyniosły przestępcom nieopodatkowany dochód liczony w miliardach dolarów. Zaprzyjaźnieni Chief Security Officers podzielili się z redakcją Computerworld USA swoją wiedzą w zakresie grasujących obecnie grup ransomaware.

Hakerska lista przebojów. Najbardziej szkodliwe ransomware w 2021. Przewodnik od CSO’s

Fot. Sora Shimazaki, Pexels

Ransomware ma długą historię, sięgającą późnych lat 80. ubiegłego wieku. Dziś generuje miliardy dolarów przychodów dla grup przestępczych, które za nim stoją. Ofiary ponoszą koszty odzyskiwania danych, nawet jeśli zapłacą okup. Brytyjski producent oprogramowania zabezpieczającego Sophos podaje, że średni koszt ataku ransomware w 2020 r. wyniósł prawie 1,5 miliona dolarów dla będących ofiarami organizacji, które zapłaciły okup i około 732 000 dolarów dla tych, które go nie zapłaciły.

Biorąc pod uwagę korzyści finansowe dla atakujących, nie jest zaskoczeniem, że gangi ransomware i złośliwe oprogramowanie tak się rozmnożyły Liczba podmiotów odpowiedzialnych za zagrożenia ransomware - tych, które są w stanie opracować i dostarczyć kod - prawdopodobnie oscyluje wokół kilkuset. Nie wliczając w to tak zwanych „podmiotów stowarzyszonych, które kupują oprogramowanie ransomware jako usługę (RaaS) od niektórych z tych podmiotów.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem

Poniżej znajduje się lista kluczowych grup i złośliwych programów ransomware, wybranych ze względu na ich wpływ lub innowacyjne cechy. Nie jest to, i nie ma być, lista wyczerpująca. Niektóre z tych grup ransomware w tych dniach nie są aktywne, ale nie ma gwarancji, że pewnego dnia nie pojawią się ponownie, pod zmienioną nazwą, większe i gorsze, jak to często bywa.

Oto nasza lista złoczyńców:

Cerber

Historia: Cerber to platforma RaaS, która po raz pierwszy pojawiła się w 2016 r., przynosząc atakującym 200 000 dolarów w lipcu tego samego roku.

Działanie: Cerber wykorzystał lukę w zabezpieczeniach Microsoftu do infekowania sieci. Działa podobnie do innych zagrożeń typu ransomware. Szyfruje pliki za pomocą algorytmu AES-256 i atakuje dziesiątki typów plików, w tym dokumenty, zdjęcia, pliki audio, wideo, archiwa i kopie zapasowe. Może również skanować i szyfrować dostępne udziały sieciowe, nawet jeśli nie są one zmapowane do litery dysku w komputerze. Następnie Cerber zrzuca na pulpit ofiary trzy pliki zawierające żądanie okupu i instrukcje, jak go zapłacić. Twórcy Cerbera sprzedają platformę na prywatnym rosyjskojęzycznym forum.

Ofiary docelowe: Jako platforma RaaS, Cerber stanowi zagrożenie dla każdego.

Conti

Historia: Pojawiająca się po raz pierwszy w maju 2020 r. platforma Conti RaaS jest uważana za następcę ransomware Ryuk. Uważa się, że do stycznia 2021 r. Conti zainfekował ponad 150 organizacji i zarobił miliony dolarów dla swoich przestępczych twórców i ich współpracowników. Od czasu jego powstania odnotowano co najmniej trzy nowe wersje.

Działanie: Conti jest dziełem jednego gangu, którego członkowie pozostają niezidentyfikowani. Wykorzystuje podwójną groźbę wstrzymania klucza deszyfrującego oraz sprzedaży lub wycieku wrażliwych danych swoich ofiar. W rzeczywistości, Conti prowadzi stronę internetową Conti News, na której wymienia swoje ofiary i publikuje skradzione dane. Po zainfekowaniu systemu złośliwe oprogramowanie przemieszcza się na boki, aby uzyskać dostęp do bardziej wrażliwych systemów. Conti jest znany z szybkiego szyfrowania plików dzięki wykorzystaniu wielowątkowości.

Docelowe ofiary: Jako operacja RaaS, Conti stanowi zagrożenie dla każdego, chociaż runda infekcji w styczniu 2021 r.wydawała się być skierowana do organizacji rządowych. Uważa się, że grupa Wizard Spider wykorzystała Conti w swoim ataku ransomware na irlandzką państwową służbę zdrowia oraz co najmniej 16 sieci opieki zdrowotnej i ratownictwa medycznego z siedzibą w USA.

CryptoLocker

Historia: Po raz pierwszy odkryty w ataku w 2013 roku, CryptoLocker zapoczątkował współczesną erę ransomware i zainfekował do 500 000 maszyn Windows w szczytowym momencie. Znany jest również pod nazwą TorrentLocker. W lipcu 2014 roku Departament Sprawiedliwości USA oświadczył, że „zneutralizował” CryptoLockera.

Działanie: CryptoLocker jest trojanem, który przeszukuje zainfekowane komputery w poszukiwaniu plików do zaszyfrowania, w tym wszelkich wewnętrznych lub podłączonych do sieci urządzeń pamięci masowej. Zazwyczaj jest on dostarczany za pośrednictwem wiadomości e-mail typu phishing z załącznikami zawierającymi złośliwe odsyłacze. Po otwarciu pliku uruchamiany jest downloader, który infekuje komputer.

Docelowe ofiary: CryptoLocker nie wydaje się być ukierunkowany na żaden konkretny podmiot.

Domniemane autorstwo: CryptoLocker został stworzony przez członków gangu przestępczego, który opracował Gameover Zeus, trojana bankowego.

CryptoWall

Historia: CryptoWall, znany również jako CryptoBit lub CryptoDefense, pojawił się po raz pierwszy w 2014 r. i stał się popularny po zamknięciu oryginalnego CryptoLockera. Przeszedł on przez kilka rewizji.

Działanie: CryptoWall jest dystrybuowany za pośrednictwem spamu lub zestawów exploitów. Jego twórcy wydają się unikać wyrafinowanych rozwiązań na rzecz prostego, ale skutecznego klasycznego podejścia do ransomware. W ciągu pierwszych sześciu miesięcy działania zainfekował 625 000 komputerów.

Docelowe ofiary: To ransomware unika krajów rosyjskojęzycznych, choć w reszcie globu zebrało ogromne żniwa.

Domniemane autorstwo: Twórcą CryptoWall jest prawdopodobnie gang przestępczy działający z kraju rosyjskojęzycznego. CryptoWall 3.0 wykrywa, czy jest uruchomiony na komputerze w Białorusi, Ukrainie, Rosji, Kazachstanie, Armenii lub Serbii, a następnie odinstalowuje się.

CTB-Locker

Historia: Po raz pierwszy zgłoszony w 2014 r., CTB-Locker jest kolejną ofertą RaaS znaną z wysokiego współczynnika infekcji. W 2016 r. nowa wersja CTB-Lockera obrała za cel serwery internetowe.

Działanie: Członkowie płacą miesięczną opłatę twórcom CTB-Locker za dostęp do hostowanego kodu ransomware. Do szyfrowania danych ransomware wykorzystuje kryptografię krzywej eliptycznej. Jest również znane ze swoich wielojęzycznych możliwości, co zwiększa globalną pulę potencjalnych ofiar.

Ofiary docelowe: Biorąc pod uwagę jego model RaaS, CTB-Locker stanowi zagrożenie dla każdej organizacji, jednak zamożne kraje Europy Zachodniej, Ameryki Północnej i Australia są najczęściej celem ataków, zwłaszcza jeśli wiadomo, że w przeszłości płaciły okup.

DarkSide

Historia: Działa od co najmniej sierpnia 2020 r., DarkSide znalazł się w centrum zainteresowania mediów i opinii publicznej w maju 2021 r. wraz z atakiem ransomware, który sparaliżował Colonial Pipeline.

Działanie: DarkSide działa w modelu RaaS poprzez program partnerski. Wykorzystuje podwójną groźbę wymuszenia - szyfrowanie danych i kradzież danych. Zazwyczaj jest wdrażany przy użyciu technik ręcznego włamania.

Operatorzy DarkSide wydają się być obeznani z mediami. Prowadzą stronę internetową, na której reporterzy mogą się zarejestrować, aby otrzymywać z wyprzedzeniem informacje o naruszeniach i niepublicznych informacjach, a także obiecują szybkie odpowiedzi na wszelkie pytania mediów.

Docelowe ofiary: Grupa stojąca za DarkSide twierdzi, że nie atakuje placówek medycznych, firm zajmujących się badaniami i dystrybucją szczepionek COVID, usług pogrzebowych, organizacji non-profit, instytucji edukacyjnych ani organizacji rządowych. Po ataku na Colonial Pipeline grupa wydała oświadczenie, w którym stwierdziła, że będzie sprawdzać potencjalne ofiary swoich oddziałów przed rozpoczęciem ataków.

Pochodzenie: Uważa się, że grupa DarkSide działa z Rosji i prawdopodobnie była powiązana z grupą REvil.

DoppelPaymer

Historia: DoppelPaymer po raz pierwszy pojawił się w czerwcu 2019 r. i nadal jest aktywny i niebezpieczny. Wydział Cyberbezpieczeństwa amerykańskiego FBI wydał ostrzeżenie na jego temat w grudniu 2020 r. We wrześniu 2020 r. został wykorzystany w pierwszym ransomware, który doprowadził do śmierci, gdy poszkodowany niemiecki szpital został zmuszony do wysłania pacjenta do innej placówki.

Działanie: Gang stojący za DoppelPaymer wykorzystuje nietypową taktykę dzwonienia do ofiar, używając spoofed numerów telefonów z siedzibą w USA, aby zażądać zapłaty okupu, który zazwyczaj wynosi około 50 bitcoinów (czyli początkowo było to około 600 000 dolarów). Twierdzili, że pochodzą z Korei Północnej, i grozili podwójnie: wyciekiem lub sprzedażą skradzionych danych. W niektórych przypadkach posuwali się o krok dalej, grożąc pracownikom poszkodowanych firm wyrządzeniem fizycznej krzywdy.

DoppelPaymer wydaje się być oparty na ransomware BitPaymer, chociaż ma pewne kluczowe różnice, takie jak użycie wątkowego szyfrowania plików w celu uzyskania lepszej szybkości szyfrowania. Również w przeciwieństwie do BitPaymer, DoppelPaymer używa narzędzia o nazwie Process Hacker do przerywania procesów i usług związanych z bezpieczeństwem, serwerem poczty elektronicznej, kopiami zapasowymi i bazami danych w celu osłabienia obrony i uniknięcia przerwania procesu szyfrowania.

Docelowe ofiary: DoppelPaymer celuje w krytyczne branże w opiece zdrowotnej, służbach ratunkowych i edukacji.

Pochodzenie: Niejasne, ale niektóre raporty sugerują, że za DoppelPaymer odpowiedzialny jest odłam grupy stojącej za trojanem Dridex, znanym jako TA505.

Egregor

Historia: Egregor pojawił się we wrześniu 2020 roku i szybko się rozwija. Jego nazwa pochodzi ze świata okultystycznego i jest definiowana jako „zbiorowa energia grupy ludzi, szczególnie a gdy jest zestrojona ze wspólnym celem”. 9 lutego 2021 r. podczas wspólnej akcji operacyjnej służb USA, Ukrainy i Francji aresztowano wielu członków i współpracowników grupy Egregor i wyłączono jej stronę internetową.

Działanie: Egregor podąża za trendem „podwójnego wymuszenia”, zarówno szyfrując dane, jak i grożąc wyciekiem wrażliwych informacji, jeśli okup nie zostanie zapłacony. Jego baza kodów jest stosunkowo wyrafinowana i jest w stanie uniknąć wykrycia dzięki zastosowaniu technik obfuskacji (zaciemniania kodu) i antyanalizy.

Ofiary: Według stanu na koniec listopada 2020 Egregor padł ofiarą co najmniej 71 organizacji z 19 branż na całym świecie.

Pochodzenie: Wzrost popularności Egregora zbiega się w czasie z zakończeniem działalności gangu ransomware Maze. Wydaje się, że osoby powiązane z grupą Maze przeszły do Egregora. Jest to wariant rodziny ransomware Sekhmet i jest powiązany ze złośliwym oprogramowaniem Qakbot.

FONIX

Historia: FONIX to oferta RaaS, która została po raz pierwszy odkryta w lipcu 2020 roku. Szybko przeszedł przez kilka poprawek kodu, ale nagle zamknął się w styczniu 2021 roku. Gang stojący za FONIX opublikował wtedy swój główny klucz deszyfrujący.

Działanie: Gang FONIX reklamował swoje usługi na forach cyberprzestępczych i w ciemnej sieci. Nabywcy FONIX-a wysyłali do gangu adres e-mail i hasło. Gang następnie wysyła spersonalizowany ładunek ransomware do kupującego. Gang FONIX pobiera 25% od każdego zapłaconego okupu.

Ofiary docelowe: Ponieważ FONIX jest RAAS, każdy może być ofiarą.

GandCrab

Historia: GandCrab może być najbardziej lukratywnym RaaS w historii. Jego twórcy twierdzą, że od lipca 2019 r. ponad 2 miliardy dolarów w wypłatach dla ofiar. GandCrab został po raz pierwszy zidentyfikowany w styczniu 2018 r.

Działanie: GandCrab to partnerski program ransomware dla cyberprzestępców, którzy płacą jego twórcom część opłat za okup, które zbierają. Złośliwe oprogramowanie jest zazwyczaj dostarczane za pośrednictwem złośliwych dokumentów Microsoft Office wysyłanych za pośrednictwem wiadomości e-mail typu phishing. Wariacje GandCrab wykorzystywały luki w oprogramowaniu takim jak Confluence firmy Atlassian. W takim przypadku napastnicy wykorzystują dziurę do wstrzyknięcia nieuczciwego szablonu, który umożliwia zdalne wykonanie kodu.

Docelowe ofiary: GandCrab infekował systemy na całym świecie w wielu branżach, chociaż został zaprojektowany tak, aby omijać systemy w regionach rosyjskojęzycznych.

Pochodzenie: GandCrab został powiązany z rosyjskim obywatelem Igorem Prokopenko.

GoldenEye

Historia: Pojawiając się w 2016 r., GoldenEye wydaje się być oparty na ransomware Petya.

Działanie: GoldenEye początkowo rozprzestrzeniał się poprzez kampanię skierowaną do działów kadr z fałszywymi listami motywacyjnymi i życiorysami. Gdy ładunek zainfekuje komputer, wykonuje makro, które szyfruje pliki na komputerze, dodając losowe 8-znakowe rozszerzenie na końcu każdego pliku. Następnie ransomware modyfikuje główny rekord rozruchowy dysku twardego komputera za pomocą niestandardowego programu ładującego.

Ofiary docelowe: GoldenEye najpierw celował w niemieckojęzycznych użytkowników w swoich e-mailach phishingowych.

Jigsaw

Historia: Jigsaw po raz pierwszy pojawił się w 2016 r., jednak badacze wydali narzędzie deszyfrujące wkrótce po jego odkryciu. Nie wiadomo, kto za nim stoi.

Działanie: Najbardziej godnym uwagi aspektem Jigsawa jest to, że szyfruje niektóre pliki, żąda okupu, a następnie stopniowo usuwa pliki, dopóki okup nie zostanie zapłacony. Usuwa jeden plik na godzinę przez 72 godziny. Po upływie tego czasu usuwa wszystkie pozostałe pliki.

Docelowe ofiary: Wydaje się, że Jigsaw nie był ukierunkowany na żadną grupę ofiar.

KeRanger

Historia: KeRanger, odkryty w 2016 r., jest uważany za pierwszy operacyjny ransomware zaprojektowany do atakowania aplikacji Mac OS X. Jego autorzy pozostają nieznani.

Działanie: KeRanger był dystrybuowany za pośrednictwem legalnego, ale skompromitowanego klienta BitTorrent, który był w stanie uniknąć wykrycia, ponieważ posiadał ważny certyfikat.

Docelowe ofiary: Użytkownicy komputerów Mac.

Leatherlocker

Historia: Leatherlocker został po raz pierwszy odkryty w 2017 r. w dwóch aplikacjach na Androida: Booster & Cleaner i Wallpaper Blur HD. Google usunął aplikacje ze swojego sklepu wkrótce po odkryciu. Do dziś nie ustalono, która grupa cyberprzestępców za tym stoi.

Działanie: Ofiary pobierają to, co wydaje się być legalną aplikacją. Następnie owa aplikacja prosi o uprawnienia, które dają złośliwemu oprogramowaniu dostęp niezbędny do działania. Zamiast szyfrować pliki, blokuje ekran główny urządzenia, aby uniemożliwić dostęp do danych.

Docelowe ofiary: Użytkownicy Androida, którzy pobierają zainfekowane aplikacje.

LockerGoga

Historia: LockerGoga pojawił się w 2019 r. w ataku skierowanym na firmy przemysłowe. Chociaż atakujący zażądali okupu, LockerGoga wydawał się intencjonalnie zaprojektowany tak, aby utrudnić zapłacenie okupu. To doprowadziło niektórych badaczy do przekonania, że jego intencją było raczej zakłócenie niż zysk finansowy.

Działanie: LockerGoga wykorzystywał do infekowania systemów kampanię phishingową ze złośliwymi załącznikami dokumentów. Ładunki były podpisane ważnymi certyfikatami, co pozwalało na ominięcie zabezpieczeń.

Ofiary: LockerGoga atakował głównie europejskie firmy produkcyje, np. w Norsk Hydro spowodował globalne wyłączenie IT.

Pochodzenie: Niektórzy badacze problemu twierdzą, że LockerGoga był prawdopodobnie dziełem służb jakiegoś państwa.

Locky

Historia: Locky po raz pierwszy zaczął rozprzestrzeniać się w 2016 r. i wykorzystywał tryb ataku podobny do bankowego złośliwego oprogramowania Dridex. Locky zainspirował wiele wariantów, w tym Osiris i Diablo6.

Działanie: Ofiary zazwyczaj otrzymują wiadomość e-mail z dokumentem Microsoft Word udającym fakturę. Faktura ta zawiera złośliwe makro. Microsoft domyślnie wyłącza makra z powodu zagrożeń dla bezpieczeństwa. Jeśli makra są włączone, dokument uruchamia makro, które pobiera Locky’ego. Dridex wykorzystuje tę samą technikę do kradzieży danych uwierzytelniających konta.

Docelowe ofiary: Wczesne ataki Locky’ego były ukierunkowane na szpitale, jednak późniejsze kampanie były szerokie i bez orientacji na konkretną branżę czy grupę potencjalnych ofiar.

Pochodzenie: Podejrzewa się, że grupa cyberprzestępcza stojąca za Lockym jest powiązana z jedną z grup stojących za Dridexem, a to ze względu na podobieństwa między nimi.

Maze

Historia: Maze to stosunkowo nowa grupa ransomware, odkryta w maju 2019 r. Znana jest z upubliczniania skradzionych danych, jeśli ofiara nie zapłaci za ich odszyfrowanie. Grupa Maze ogłosiła koniec swojej działalności we wrześniu 2020 r.

Działanie: Napastnicy Maze zazwyczaj uzyskują zdalny dostęp do sieci przy użyciu ważnych danych uwierzytelniających, które mogą być odgadnięte, domyślne lub zdobyte w kampaniach phishingowych. Następnie złośliwe oprogramowanie skanuje sieć przy użyciu narzędzi open-source w celu wykrycia luk i poznania sieci. Następnie porusza się po całej sieci w poszukiwaniu kolejnych poświadczeń, które mogą zostać wykorzystane do eskalacji uprawnień. Gdy znajdzie poświadczenia administratora domeny, może uzyskać dostęp i zaszyfrować wszystko, co znajduje się w sieci.

Docelowe ofiary: Maze działa na skalę globalną we wszystkich branżach.

Pochodzenie: Uważa się, że za Maze nie stoi pojedynczy gang, lecz wiele grup przestępczych, które dzielą się swoimi specjalizacjami.

Mespinoza (a.k.a. PYSA)

Historia: Po raz pierwszy zidentyfikowana w 2019 r., grupa Mespinoza ma reputację zarozumiałej i dziwacznej. Według raportu z Palo Alto Software’s Unit 42, gang odnosi się do swoich ofiar jak do… partnerów biznesowych i udziela porad, aby przekonać kierownictwo do zapłacenia okupu. Mespinoza używa swoich własnych narzędzi o nazwach takich jak MagicSocks i HappyEnd.bat.

Działanie: Pomimo swoich dziwactw, Mespinoza jest dość zdyscyplinowana w swoim podejściu według Jednostki 42. Gang odrabia pracę domową z potencjalnych ofiar, aby namierzyć te z najcenniejszymi aktywami. Następnie szukają w dokumentach słów kluczowych, takich jak SSN, prawo jazdy czy paszport, aby zidentyfikować najbardziej wrażliwe pliki. Atak wykorzystuje RDP, aby uzyskać dostęp do sieci, a następnie używa open-source’owych i wbudowanych narzędzi systemowych do poruszania się na boki i zbierania danych uwierzytelniających. Instaluje złośliwe oprogramowanie o nazwie Gasket, aby stworzyć backdoora. Gasket posiada funkcję o nazwie MagicSocks, która tworzy tunele umożliwiające zdalny dostęp. Gang stosuje metodę podwójnego wymuszenia, która obejmuje groźbę ujawnienia poufnych danych, jeśli okup nie zostanie zapłacony.

Docelowe ofiary: Mespinoza działa na skalę globalną i celuje w duże przedsiębiorstwa z wielu branż. Ostatnio zaatakowała szkoły K-12, uniwersytety i seminaria duchowne w Stanach Zjednoczonych i Wielkiej Brytanii.

Netwalker

Historia: Aktywny od 2019 r., Netwalker to kolejna operacja ransomware, która wykorzystuje podwójną groźbę wstrzymania kluczy deszyfrujących i sprzedaży lub wycieku skradzionych danych. Jednak pod koniec stycznia 2021 roku Departament Sprawiedliwości USA ogłosił globalną akcję, która przerwała operację Netwalker. Jest zbyt wcześnie, aby stwierdzić, jak długotrwałe będzie to zakłócenie.

Działanie: Z technicznego punktu widzenia, Netwalker jest stosunkowo zwykłym ransomware. Zdobywa przewagę dzięki phishingowym wiadomościom e-mail, szyfruje i eksfiltruje dane, a następnie wysyła żądanie okupu. To drugie zagrożenie, polegające na ujawnieniu poufnych danych, czyni go bardziej niebezpiecznym. Znane są przypadki ujawnienia skradzionych danych poprzez umieszczenie ich w chronionym hasłem folderze w dark webie, a następnie publiczne ujawnienie klucza.

Ofiary: Netwalker celuje przede wszystkim w instytucje opieki zdrowotnej i edukacyjne.

Pochodzenie: Uważa się, że to gang Circus Spider stworzył Netwalkera.

NotPetya

Historia: Po raz pierwszy pojawił się w 2016 r., NotPetya jest w rzeczywistości złośliwym oprogramowaniem niszczącym dane, zwanym wiper, które maskuje się jako ransomware.

Działanie: Wirus NotPetya powierzchownie przypomina Petyę w tym, że szyfruje pliki i żąda okupu w Bitcoinach. Petya wymaga, aby ofiara pobrała go z wiadomości spamowej, uruchomiła i nadała mu uprawnienia administratora. NotPetya może rozprzestrzeniać się bez interwencji człowieka. Pierwotny wektor infekcji wydaje się przebiegać przez backdoora zaszytego w M.E.Doc, pakiecie oprogramowania księgowego, który jest używany przez prawie każdą firmę na Ukrainie. Po zainfekowaniu komputerów z serwerów firmy Medoc, NotPetya wykorzystuje różne techniki rozprzestrzeniania się na inne komputery, w tym EternalBlue i EternalRomance. Może również wykorzystać Mimikatz do znalezienia danych uwierzytelniających administratora sieci w pamięci zainfekowanej maszyny, a następnie użyć narzędzi Windows PsExec i WMIC do uzyskania zdalnego dostępu i zainfekowania innych komputerów w sieci lokalnej.

Ofiary ataku: Atak koncentrował się głównie na Ukrainie.

Domniemane autorstwo: Uważa się, że za NotPetya odpowiedzialna jest grupa Sandworm działająca w ramach rosyjskiego GRU (Głównego Zarządu Wywiadowczego Sztabu Generalnego Sił Zbrojnych Rosji).

Petya

Historia: Nazwa pochodzi od satelity, który był częścią złowrogiej intrygi w filmie Jamesa Bonda GoldenEye z 1995 roku. Konto na Twitterze podejrzane o przynależność do autora złośliwego oprogramowania wykorzystywało jako swój awatar zdjęcie aktora Alana Cumminga, który grał czarny charakter. Początkowa wersja złośliwego oprogramowania Petya zaczęła rozprzestrzeniać się w marcu 2016 roku.

Działanie: Petya przybywa na komputer ofiary dołączony do wiadomości e-mail rzekomo będącej CV osoby ubiegającej się o pracę. Jest to paczka z dwoma plikami: zdjęciem młodego mężczyzny i plikiem wykonywalnym, często z dopiskiem „PDF” gdzieś w nazwie pliku. Gdy ofiara kliknie na ten plik, ostrzeżenie o Kontroli Dostępu Użytkownika systemu Windows informuje ją, że plik wykonywalny wprowadzi zmiany na komputerze. Złośliwe oprogramowanie ładuje się, gdy ofiara zaakceptuje zmiany, a następnie odmawia dostępu, atakując niskopoziomowe struktury na nośniku danych.

Docelowe ofiary: Potencjalnym celem jest każdy system Windows, jednak najbardziej dotknięta atakiem została Ukraina.

Przypisywane autorstwo: Nieznany

Purelocker

Historia: Platforma PureLocker RaaS, odkryta w 2019 r., jest skierowana na serwery produkcyjne klasy enterprise z systemem Linux lub Windows. Jest napisana w języku PureBasic, stąd jej nazwa.

Działanie: PureLocker opiera się na złośliwym oprogramowaniu more_eggs backdoor, aby uzyskać dostęp, a nie na próbach phishingu. Atakujący celują w maszyny, które zostały już skompromitowane i rozumieją. PureLocker następnie analizuje te maszyny i selektywnie szyfruje dane.

Docelowe ofiary: Naukowcy uważają, że tylko kilka gangów przestępczych może sobie pozwolić na opłacenie PureLockera, aby jego użycie było ograniczone do celów o wysokiej wartości.

Pochodzenie: Za PureLockera odpowiada prawdopodobnie dostawca malware-as-a-service (MaaS), który stoi za backdoorem more_eggs.

RobbinHood

Historia: RobbinHood jest kolejnym wariantem ransomware, który wykorzystuje EternalBlue. W 2019 r. rzucił on na kolana miasto Baltimore w stanie Maryland.

Działanie: Najbardziej unikalną cechą RobbinHooda jest sposób, w jaki jego payload omija zabezpieczenia punktów końcowych. Składa się on z pięciu części: pliku wykonywalnego, który zabija procesy i pliki produktów bezpieczeństwa, kodu do wdrożenia podpisanego sterownika innej firmy oraz złośliwego, niepodpisanego sterownika jądra, przestarzałego sterownika podpisanego Authenticode, który posiada lukę w zabezpieczeniach, złośliwego sterownika do zabijania procesów i usuwania plików z przestrzeni jądra oraz pliku tekstowego z listą aplikacji do zabicia i usunięcia. Przestarzały, podpisany sterownik posiada znany błąd, który złośliwe oprogramowanie wykorzystuje do uniknięcia wykrycia, a następnie zainstalowania własnego, niepodpisanego sterownika w systemach Windows 7, Windows 8 i Windows 10.

Docelowe ofiary: Samorządy lokalne, takie jak miasta Baltimore i Greenville w Północnej Karolinie.

Ryuk

Historia: Ryuk pojawił się po raz pierwszy w sierpniu 2018 r., ale jest oparty na starszym programie ransomware o nazwie Hermes, który został sprzedany na podziemnych forach cyberprzestępczych w 2017 r.

Działanie: Jest często używany w połączeniu z innym złośliwym oprogramowaniem, takim jak TrickBot. Gang Ryuk jest znany z używania ręcznych technik hakerskich i narzędzi open-source w celu poruszania się bokiem przez sieci prywatne i uzyskiwania dostępu administracyjnego do jak największej liczby systemów przed zainicjowaniem szyfrowania plików.

Napastnicy Ryuk żądają od swoich ofiar wysokich okupów, zazwyczaj od 15 do 50 Bitcoinów, chociaż podobno zdarzały się wyższe kwoty.

Ofiary: Przedsiębiorstwa, szpitale i organizacje rządowe.

Przypisanie: Po raz pierwszy przypisywany północnokoreańskiej grupie Lazarus, która wykorzystała Hermesa w ataku na tajwański Far Eastern International Bank (FEIB) w październiku 2017 r., obecnie uważa się, że Ryuk jest dziełem rosyjskojęzycznej grupy cyberprzestępczej, która uzyskała dostęp do Hermesa. Gang Ryuk, czasami nazywany Wizard Spider lub Grim Spider, obsługuje również TrickBota. Niektórzy badacze uważają, że Ryuk może być dziełem oryginalnego autora Hermesa lub autorów działających pod szyldem CryptoTech.

SamSam

Historia: SamSam istnieje od 2015 roku i był ukierunkowany głównie na organizacje opieki zdrowotnej, a w kolejnych latach znacznie się nasilił.

Działanie: SamSam to operacja RaaS, której kontrolerzy sondują wstępnie wybrane cele w poszukiwaniu słabych punktów. Wykorzystuje szereg luk we wszystkim, od IIS przez FTP po RDP. Po wejściu do systemu atakujący eskalują przywileje, aby zapewnić, że gdy zaczną szyfrować pliki, atak będzie szczególnie szkodliwy.

Ofiary ataku: Najbardziej dotknięte zostały amerykańskie organizacje opieki zdrowotnej i rządowe, w tym Departament Transportu w Kolorado i miasto Atlanta.

Domniemanie autorstwa: Początkowo niektórzy uważali, że SamSam ma pochodzenie wschodnioeuropejskie, a jego celem były głównie instytucje amerykańskie. Pod koniec 2018 r. Departament Sprawiedliwości USA postawił w stan oskarżenia dwóch Irańczyków, którzy według nich stali za atakami.

SimpleLocker

Historia: SimpleLocker, odkryty w 2014 roku, był pierwszym szeroko rozpowszechnionym atakiem ransomware, który koncentrował się na urządzeniach mobilnych, a konkretnie na smartfonach z systemem Android.

Działanie: SimpleLocker infekuje urządzenia, gdy ofiara pobiera złośliwą aplikację. Następnie skanuje kartę SD urządzenia w poszukiwaniu określonych typów plików i szyfruje je. Następnie wyświetla ekran z żądaniem okupu i instrukcją, jak go zapłacić.

Ofiary docelowe: Ponieważ notatka z żądaniem okupu jest w języku rosyjskim i prosi o zapłatę w ukraińskiej walucie, zakłada się, że atakujący pierwotnie celowali w ten region.

Domniemanie autorstwa: Uważa się, że SimpleLocker został napisany przez tych samych hakerów, którzy opracowali inne rosyjskie złośliwe oprogramowanie, takie jak SlemBunk i GM Bot.

Sodinokibi/REvil

Historia: Sodinokibi, znany również jako REvil, to kolejna platforma RaaS, która po raz pierwszy pojawiła się w kwietniu 2019 r. Najwyraźniej powiązany z GandCrab, ma również kod, który uniemożliwia mu wykonanie w Rosji i kilku sąsiednich krajach, a także w Syrii. Był odpowiedzialny za wyłączenie ponad 22 małych miasteczek w Teksasie, a w Sylwestra 2019 r. zdjął brytyjską usługę wymiany walut Travelex. Ostatnio ransomware REvil został wykorzystany w ataku na firmę przetwórstwa mięsnego JBS, czasowo zakłócając dostawy mięsa w USA. Było ono również odpowiedzialne za atak na firmę Kaseya, która dostarcza oprogramowanie dla MSP. Ucierpiały tysiące klientów MSP. Wkrótce po ataku na firmę Kaseya, strony internetowe REvil zniknęły z Internetu.

Działanie: Sodinokibi rozprzestrzenia się na kilka sposobów, w tym wykorzystując dziury w serwerach Oracle WebLogic lub Pulse Connect Secure VPN. Atakuje systemy Microsoft Windows i szyfruje wszystkie pliki z wyjątkiem plików konfiguracyjnych. Ofiary otrzymują podwójne zagrożenie, jeśli nie zapłacą okupu: Nie odzyskają swoich danych, a ich wrażliwe dane zostaną sprzedane lub opublikowane na podziemnych forach.

Docelowe ofiary: Sodinokibi zainfekował wiele różnych organizacji na całym świecie poza regionami, które wyklucza.

Przypisywanie zasług: Sodinokibi zyskał rozgłos po zamknięciu GandCrab. Domniemany członek grupy, posługujący się pseudonimem Unknown, potwierdził, że ransomware został stworzony na podstawie starszej bazy kodów, którą grupa przejęła.

TeslaCrypt

Historia: TeslaCrypt to trojan ransomware dla systemu Windows wykryty po raz pierwszy w 2015 roku, który celuje w graczy gier komputerowych. Kilka nowszych wersji pojawiło się w szybkim tempie, ale programiści zamknęli działalność w maju 2016 roku i wydali główny klucz deszyfrujący.

Działanie: Po zainfekowaniu komputera, zazwyczaj po tym, jak ofiara odwiedzi zhakowaną stronę internetową, która uruchamia zestaw exploitów, TeslaCrypt szuka i szyfruje pliki gier, takie jak zapisy gier, nagrane powtórki i profile użytkowników. Następnie żąda opłaty w wysokości 500 dolarów w Bitcoin za odszyfrowanie plików.

Docelowe ofiary: Gracze komputerowi

Thanos

Historia: Thanos RaaS jest stosunkowo nowy, odkryty pod koniec 2019 r. Jest pierwszym, który wykorzystuje technikę RIPlace, która może ominąć większość metod anty-ransomware.

Działanie: Reklamowany na podziemnych forach i innych zamkniętych kanałach, Thanos jest niestandardowym narzędziem, które jego partnerzy wykorzystują do tworzenia ładunków płatnych ransomware. Wiele z funkcji, które oferuje, zostało zaprojektowanych w celu uniknięcia wykrycia. Twórcy Thanosa wydali wiele wersji, dodając takie funkcje, jak wyłączanie kopii zapasowych innych firm, usuwanie plików sygnatur Windows Defendera oraz funkcje utrudniające zespołom reagowania prowadzenie śledztwa.

Docelowe ofiary: Jako platforma RaaS, Thanos atakuje wszystkie bez wyjątku organizacje.

Wannacry

Historia: Robak WannaCry szybko rozprzestrzenił się w sieciach komputerowych w maju 2017 r. dzięki exploitowi EternalBlue opracowanemu przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), a następnie wykradzionemu przez hakerów. Szybko zainfekował miliony komputerów z systemem Windows.

Działanie: WannaCry składa się z wielu komponentów. Na zainfekowanym komputerze pojawia się w postaci droppera - samodzielnego programu, który wyodrębnia inne komponenty aplikacji osadzone wewnątrz siebie, w tym: aplikację, która szyfruje i odszyfrowuje dane, pliki zawierające klucze szyfrujące, kopię programu Tor.

Po uruchomieniu WannaCry próbuje uzyskać dostęp do zakodowanego adresu URL. Jeśli nie jest to możliwe, zaczyna wyszukiwać i szyfrować pliki w ważnych formatach, od plików Microsoft Office po pliki MP3 i MKV. Następnie wyświetla informację o okupie, żądając Bitcoinów za odszyfrowanie plików.

Ofiary ataku: Atak WannaCry dotknął firmy na całym świecie, ale szczególnie mocno ucierpiały wysoko postawione przedsiębiorstwa z branży opieki zdrowotnej, energetyki, transportu i komunikacji.

Domniemanie pochodzenie: Uważa się, że za WannaCry stoi północnokoreańska grupa Lazarus.

WastedLocker

Historia: Jeden z nowszych ransomware’ów, WastedLocker, zaczął atakować organizacje w maju 2020 roku. Jest to jeden z bardziej wyrafinowanych przykładów ransomware, a jego twórcy znani są z żądania wysokich opłat za okup.

Działanie: Złośliwe oprogramowanie wykorzystuje oparty na JavaScript framework ataku calle SocGholish, który jest dystrybuowany w formie pliku ZIP za pośrednictwem fałszywej aktualizacji przeglądarki, które pojawiają się na legalnych, ale skompromitowanych stronach internetowych. Po aktywacji WastedLocker pobiera i uruchamia skrypty PowerShell oraz backdoora o nazwie Cobalt Strike. Złośliwe oprogramowanie eksploruje sieć i wykorzystuje narzędzia LotL (Living off the Land, np. skrypty PowerShell i VB, WMI, Mimikatz, PsExec), aby wykraść dane uwierzytelniające i uzyskać dostęp do systemów o dużej wartości. Następnie szyfruje dane przy użyciu kombinacji kryptografii AES i RSA.

Docelowe ofiary: WastedLocker koncentruje się na celach o wysokiej wartości, które najprawdopodobniej zapłacą wysokie okupy, głównie w Ameryce Północnej i Europie Zachodniej.

Domniemane pochodzenie: Znany gang przestępczy, Evil Corp, jest odpowiedzialny za WastedLockera. Grupa ta jest również znana z obsługi złośliwego oprogramowania i botnetu Dridex.

WYSIWYE

Historia: Odkryty w 2017 r., WYSIWYE (What You See Is What You Encrypt) to platforma RaaS, która celuje w systemy Windows.

Działanie: skanuje sieć w poszukiwaniu otwartych serwerów Remote Desktop Protocol (RDP). Następnie przeprowadza próby logowania przy użyciu domyślnych lub słabych danych uwierzytelniających, aby uzyskać dostęp do systemów i rozprzestrzenić się w sieci. Przestępcy, którzy wykupią usługę WYSIWYE, mogą wybrać, jakie typy plików mają zostać zaszyfrowane i czy oryginalne pliki mają być usuwane po zaszyfrowaniu.

Ofiary docelowe: Ataki WYSIWYE pojawiły się najpierw w Niemczech, Belgii, Szwecji i Hiszpanii.

Zeppelin

Historia: Zeppelin pojawił się po raz pierwszy w listopadzie 2019 r. i jest potomkiem oferty Vega lub VegasLocker RaaS, która padła ofiarą firm księgowych w Rosji i Europie Wschodniej.

Działanie: Zeppelin ma więcej możliwości niż jego przodkowie, szczególnie jeśli chodzi o konfigurowalność. Zeppelin może zostać wdrożony na wiele sposobów, w tym jako EXE, DLL lub program ładujący PowerShell, ale niektóre z jego ataków zostały przeprowadzone za pośrednictwem skompromitowanych dostawców zarządzanych usług bezpieczeństwa.

Docelowe ofiary: Zeppelin jest znacznie bardziej ukierunkowany niż Vega, który rozprzestrzeniał się w sposób dość masowy i działał głównie w świecie rosyjskojęzycznym. Zeppelin został zaprojektowany tak, aby nie uruchamiał się na komputerach działających w Rosji, na Ukrainie, Białorusi i w Kazachstanie. Jego ofiarami padały głównie firmy z branży medycznej i technologicznej w Ameryce Północnej i Europie.

Domniemane pochodzenie: Eksperci ds. bezpieczeństwa uważają, że nowy podmiot stanowiący zagrożenie, prawdopodobnie z Rosji, wykorzystuje bazę kodów Vegi do rozwijania Zeppelina.

Źródło:https://www.csoonline.com/article/3607649/csos-guide-to-the-worst-and-most-notable-ransomware.html

Tłumaczenie i opracowanie: Anna Ładan

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200