Łowcy korporacji: 5 największych ugrupowań wkorzystujących ransomware

W ciągu ostatnich pięciu lat oprogramowanie ransomware ewoluowało od zagrożenia dla poszczególnych komputerów po poważne zagrożenie dla sieci firmowych. Cyberprzestępcy nie próbują już zainfekować jak najwięcej komputerów; teraz atakują duże ofiary. Ataki na organizacje handlowe i agencje rządowe wymagają starannego planowania, ale potencjalnie mogą przynieść zyski w wysokości kilkudziesięciu milionów dolarów.

Gangi ransomware wykorzystują finansową siłę firm, która przeważnie jest znacznie większa niż w przypadku zwykłych użytkowników. Co więcej, wiele nowoczesnych grup ransomware kradnie dane przed zaszyfrowaniem ich i w ramach wywołania dodatkowej presji grożą ich opublikowaniem. Dla zaatakowanej firmy zwiększa to potencjalne straty: od utraty reputacji przez problemy z akcjonariuszami po grzywny od organów regulacyjnych, co często sumarycznie wynosi więcej niż wartość samego okupu.

Według naszych danych 2016 rok był przełomowy. W zaledwie kilka miesięcy liczba cyberataków ransomware na organizacje potroiła się: podczas gdy w styczniu 2016 r. notowaliśmy średnio jeden incydent co 2 minuty, pod koniec września przerwa ta skurczyła się do 40 sekund.

Od 2019 roku eksperci regularnie obserwują kampanie ukierunkowane w postaci serii ogromnego polowania z użyciem ransomware. Na stronach operatorów złośliwego oprogramowania wyświetlane są statystyki dotyczące ataków. Wykorzystaliśmy te dane do sporządzenia rankingu najbardziej aktywnych grup cyberprzestępczych.

1. Maze (znane także jako ransomware ChaCha)

Ransomware Maze, po raz pierwszy zauważone w 2019 r., szybko wspięło się na szczyt listy złośliwego oprogramowania. Łączna liczba ofiar tego ransomware stanowiła ponad jedną trzecią wszystkich ataków. Grupa stojąca za Maze jako jedna z pierwszych kradła dane przed ich zaszyfrowaniem. Jeśli ofiara odmówiła zapłaty okupu, cyberprzestępcy grozili opublikowaniem skradzionych plików. Technika okazała się skuteczna, a później została przyjęta przez wiele innych operatorów ransomware, takich jak REvil i DoppelPaymer (więcej o nich omawiamy poniżej).

Cyberprzestępcy zaczęli też informować o swoich atakach media. Pod koniec 2019 r. grupa Maze poinformowała portal internetowy Bleeping Computer o tym, że zhakowała firmę Allied Universal. Jako dowód dołączyła kilka skradzionych plików. W konwersacji e-mail z redaktorami serwisu ugrupowanie zagroziło wysłaniem spamu z serwerów Allied Universal, a później opublikowało poufne dane należące do zhakowanej firmy na forum portalu Bleeping Computer.

Ataki ugrupowania Maze trwały do września 2020 r., następnie rozpoczęło ono likwidację swojej działalności. W sumie w wyniku jego ataków ucierpiało kilka międzynarodowych korporacji, bank państwowy w Ameryce Łacińskiej i amerykański system informacyjny. W każdym z tych przypadków operatorzy Maze żądali od ofiar wpłaty w wysokości kilku milionów dolarów.

2. Conti (znane także jako ransomware IOCP)

Conti pojawiło się pod koniec 2019 roku i było bardzo aktywne przez cały 2020 r., odpowiadając za ponad 13% wszystkich ofiar ransomware w tym okresie. Jego twórcy pozostają aktywni.

Ciekawym szczegółem na temat ataków ugrupowania Conti jest to, że w zamian za zapłatę cyberprzestępcy oferują zaatakowanej firmie pomoc w zakresie bezpieczeństwa; przekonują, że ofiara otrzyma instrukcje pozwalające zamknąć lukę w zabezpieczeniach, porady, jak uniknąć takich problemów w przyszłości, a także podpowiedź, jakie oprogramowanie sprawia najwięcej problemów hakerom.

Podobnie jak w przypadku Maze, ransomware Conti nie tylko szyfruje zhakowane systemy, ale także wysyła kopie plików do swoich operatorów. Następnie cyberprzestępcy grożą opublikowaniem informacji w internecie, jeśli ofiara nie spełni ich żądań. Jednym z najgłośniejszych ataków Conti było zhakowanie szkoły w Stanach Zjednoczonych i żądanie okupu w wysokości 40 milionów dolarów (administracja przyznała, że byłaby gotowa zapłacić 500 000 dolarów, ale nie będzie negocjować kwoty 80-krotnie wyższej).

3. REvil (znane także jako ransomware Sodin, Sodinokibi)

Pierwsze ataki ransomware REvil zostały wykryte na początku 2019 r. w Azji. To złośliwe oprogramowanie szybko zwróciło uwagę ekspertów ze względu na swoją sprawność techniczną, np. korzystanie z legalnych funkcji procesora w celu ominięcia systemów bezpieczeństwa. Ponadto w jego kodzie znajdowały się charakterystyczne oznaki wskazujące, że został on stworzony w celu wynajmowania.

W sumie ofiary REvil stanowią 11% wszystkich zaatakowanych jednostek. Oprogramowanie to uderzyło w prawie 20 sektorów biznesowych. Największy odsetek ofiar znajduje się w sektorze inżynierii i produkcji (30%), następnie finansów (14%), usług profesjonalnych i konsumenckich (9%), a dalej znajduje się prawo (7%) oraz IT z telekomunikacją (7%). W tej ostatniej kategorii doszło do jednego z najgłośniejszych ataków ransomware w 2019 r., kiedy to cyberprzestępcy zhakowali kilka małych i średnich firm i rozesłali oprogramowanie Sodinokibi do ich klientów.

Ugrupowanie REvil jest obecnie rekordzistą w kwestii największego w historii okupu: 50 milionów dolarów od firmy Acer w marcu 2021 roku.

4. Netwalker (znane także jako ransomware Mailto)

Łączna liczba ofiar programu Netwalker stanowiła ponad 10% wszystkich zaatakowanych jednostek. Wśród jego celów są giganci z branży logistycznej, grupy przemysłowe, korporacje energetyczne i inne duże organizacje. W ciągu zaledwie kilku miesięcy w 2020 r. cyberprzestępcy wyłudzili od ofiar ponad 25 milionów dolarów.

Wydaje się, że jego twórcy dążą do tego, aby ich program atakował masowo. Zaoferowali oni wydzierżawienie Netwalkera oszustom w zamian za udział w zysku z ataków. Według portalu Bleeping Computer zysk osoby zajmującej się dystrybucją złośliwego oprogramowania może osiągnąć wartość 70% okupu, chociaż w takich schematach zazwyczaj podmioty stowarzyszone otrzymują znacznie mniej.

Jako dowód swoich zamiarów cyberprzestępcy opublikowali zrzuty ekranu przedstawiające duże kwoty przelewów pieniężnych. W celu uproszczenia procesu leasingu założyli stronę internetową, na której skradzione dane są publikowane automatycznie po terminie zapłaty okupu.

W styczniu 2021 roku policja zajęła należące do Netwalker zasoby internetowe i oskarżyła obywatela Kanady, Sebastiena Vachon-Desjardinsa, o zdobycie ponad 27,6 mln dol. z działalności polegającej na wymuszeniach. Vachon-Desjardins był odpowiedzialny za wyszukiwanie ofiar, włamywanie się do ich sprzętów, a także umieszczenie Netwalkera w systemach. Operacja organów ścigania skutecznie wyeliminowała działalność tego oprogramowania ransomware.

5. Ransomware DoppelPaymer

Ostatnim elementem naszego zestawienia jest DoppelPaymer — ransomware, którego ofiary stanowią około 9% wszystkich zaatakowanych jednostek. Jego twórcy znani są również ze względu na inne warianty złośliwego oprogramowania, w tym trojana bankowego Dridex i nieistniejący już program ransomware BitPaymer (znane również jako FriedEx), które jest uważane za wcześniejszą wersję DopplePaymer. W rzeczywistości całkowita liczba ofiar tej grupy jest więc znacznie wyższa.

Do organizacji komercyjnych dotkniętych przez DoppelPaymer należą producenci elektroniki i samochodów, a także duża firma naftowa z Ameryki Łacińskiej. DoppelPaymer często atakuje organizacje rządowe na całym świecie, w tym sektor opieki zdrowotnej, ratownictwa i usług edukacyjnych. Grupa pojawiła się na pierwszych stronach gazet, gdy opublikowała informacje o wyborcach, wykradzione z hrabstwa Hall w stanie Georgia, i otrzymała 500 000 dol. od hrabstwa Delaware w stanie Pensylwania, oba w Stanach Zjednoczonych. Ataki DoppelPaymer trwają do dziś: w lutym tego roku europejski organ badawczy poinformował, że został zhakowany.

Metody ataków ukierunkowanych

Każdy atak ukierunkowany na dużą firmę jest wynikiem długiego procesu obejmującego wyszukanie luk w infrastrukturze, opracowanie scenariusza i wybór narzędzi. Następnie dochodzi do przeniknięcia do infrastruktury firmowej i rozprzestrzenienie w niej złośliwego oprogramowania. Cyberprzestępcy czasami pozostają w sieci firmowej przez kilka miesięcy, zanim zaszyfrują pliki i opublikują żądanie.

Główne sposoby przedostania się atakujących do infrastruktury to:

• Słabo zabezpieczone połączenia dostępu zdalnego. Połączenia przez dziurawe protokoły RDP (Remote Desktop Protocol) są powszechnym sposobem dostarczania złośliwego oprogramowania, a ugrupowania działające na czarnym rynku oferują usługi w zakresie ich wykorzystania. Kiedy znaczna część świata przeszła na pracę zdalną, liczba takich ataków gwałtownie wzrosła. Sposób ten wykorzystuje wiele kampanii ransomware, w tym Ryuk, REvil.
• Luki w zabezpieczeniach aplikacji serwera. Ataki na oprogramowanie po stronie serwera dają cyberprzestępcom dostęp do najbardziej wrażliwych danych. Ostatni przykład miał miejsce w marcu, kiedy ransomware DearCry zaatakowało poprzez lukę dnia zerowego znajdującą się w programie Microsoft Exchange. Niedostatecznie chronione oprogramowanie po stronie serwera może służyć jako punkt wejścia do ataku ukierunkowanego. Problemy z bezpieczeństwem występują również w serwerach sieci VPN dla przedsiębiorstw — w zeszłym roku poznaliśmy kilka przykładów ich wykorzystania.
• Dostawa wykorzystująca botnety. Aby złapać jeszcze więcej ofiar i zwiększyć zyski, operatorzy ransomware używają botnetów. Operatorzy sieci urządzeń działających jak zombie zapewniają dostęp do nich innym cyberprzestępcom. Zabezpieczenia takich sprzętów zostały złamane i automatycznie szukają one kolejnych podatnych systemów, a następnie pobierają na nie oprogramowanie ransomware. W ten sposób rozprzestrzeniało się na przykład ransomware Conti i DoppelPaymer.
• Ataki na łańcuch dostaw. Kampania REvil najlepiej pokazuje ten wektor zagrożeń: grupa naruszyła bezpieczeństwo dostawcy dostawcy usług zarządzanych, a następnie dystrybuowała ransomware w sieci ich klientów.
• Złośliwe załączniki. Popularną opcją dostarczania złośliwego oprogramowania są nadal wiadomości e-mail zawierające złośliwe makra w załączonych dokumentach programu Word. Jeden z naszych 5 najlepszych złoczyńców, NetWalker, użył złośliwych załączników, aby złapać ofiary — jego operatorzy wysyłali korespondencję z tematem zawierającym tekst „COVID-19”.

Jak firmy mogą zachować ochronę

• Szkol pracowników w zakresie higieny cyfrowej. Pracownicy powinni wiedzieć, czym jest phishing, nigdy nie klikali łączy w podejrzanych wiadomości e-mail ani nie pobierali plików z wątpliwych witryn, oraz jak tworzyć, zapamiętywać i chronić silne hasła. Prowadzenie regularnych szkoleń w zakresie bezpieczeństwa informacji pozwala nie tylko zminimalizować ryzyko wystąpienia incydentów, ale także łagodzi szkody w przypadku, gdy atakującym uda się przeniknąć do sieci.
• Regularnie aktualizuj wszystkie systemy operacyjne i aplikacje, aby zapewnić maksymalną ochronę przed atakami realizowanymi poprzez znane luki w oprogramowaniu. Zadbaj o aktualizację oprogramowania po stronie klienta i po stronie serwera.
• Przeprowadzaj audyty bezpieczeństwa, sprawdzaj zabezpieczenia sprzętu i porty — zwróć uwagę, które są otwarte i dostępne z internetu. Używaj bezpiecznego połączenia do pracy zdalnej, ale pamiętaj, że połączenia VPN również mogą być narażone na różne zagrożenia.
• Twórz kopie zapasowe danych firmowych. Nie tylko skracają one czas przestojów i szybciej przywracają procesy biznesowe w przypadku ataku ransomware, ale także pomagają podczas takich zdarzeń jak awarie sprzętu.
• Używaj profesjonalnego rozwiązania zabezpieczającego, które chroni przed ransomware poprzez analizy behawioralne i specjalne technologie.
• Stosuj system bezpieczeństwa informacji, który jest w stanie rozpoznać anomalie w infrastrukturze sieciowej, takie jak próby sondowania portów lub żądania uzyskania dostępu do niestandardowych systemów. Jeśli nie masz wewnętrznych specjalistów, którzy są w stanie monitorować sieć, skorzystaj z usług ekspertów zewnętrznych.