Najznámejšie ransomvérové skupiny
Existuje niekoľko známych skupín, ktoré sú zodpovedné za niektoré z najvýznamnejších a najvplyvnejších prípadov ransomvéru. Medzi tieto skupiny patria :
Lockbit
Skupina LockBit je významnou skupinou pôsobiacou v oblasti kybernetickej kriminality so špecializáciou na ransomvérové útoky. Odhaduje sa, že v roku 2022 skupina LockBit spôsobila 44% všetkých škôd z úspešných útokov ransomvérom na svete.
Základné informácie o tejto skupine:
- Cieľové zameranie: Zameriava sa predovšetkým na veľké korporácie a podniky, ktoré majú vysoké finančné zdroje a sú ochotné platiť vysoké sumy výkupného za obnovenie prístupu k ich dátam.
- Technická zdatnosť: Členovia skupiny LockBit sú známi svojou vysokou technickou zdatnosťou a schopnosťou vykonávať sofistikované kybernetické útoky. Ich útoky často využívajú pokročilé metódy šifrovania a šírenia cez siete.
- „Ransomware as a Service“ model: Jedným z charakteristických rysov skupiny LockBit je model „Ransomware as a Service“ (RaaS). Tento model umožňuje iným zločineckým skupinám využívať ich ransomvérové nástroje a infraštruktúru na vlastné útoky výmenou za časť výkupného.
- Rýchly nárast: LockBit zažil v posledných rokoch rapídny nárast svojej aktivity a vplyvu. Ich útoky sa stali častejšími a agresívnejšími, čo predstavuje vážne nebezpečenstvo pre organizácie po celom svete.
- Známa metóda Double Extortion: Jednou z charakteristických taktík tejto skupiny je metóda „double extortion“ (dvojnásobná vydieračská taktika). Okrem šifrovania dát si uchovávajú kópiu dát a vyhrážajú sa ich zverejnením, ak obeť odmieta zaplatiť výkupné.
- Aktívna podpora: LockBit neprestáva investovať do vývoja nových techník a nástrojov na zlepšenie svojich útokov. Okrem toho sa skupina často podieľa na podpore a spolupráci s inými skupinami kybernetických zločincov, čo zvyšuje ich efektivitu a vplyv.
Skupina Ryuk
Skupina Ryuk je jednou z najznámejších a najnebezpečnejších skupín pôsobiacich v tejto oblasti kybernetickej kriminality.
Základné informácií o tejto skupine:
- Cieľové zameranie: Skupina sa zameriava predovšetkým na veľké korporácie a kritické infraštruktúry ako sú nemocnice, finančné inštitúcie a vládne organizácie. Ich cieľom je spôsobiť čo najväčšie finančné škody a narušiť kritické služby. Sústredí sa prevažne na infraštruktúru postavenú na báze produktov Microsoft.
- Profesionálny prístup: Operuje s vysokou úrovňou organizácie a technickej zdatnosti. Ich útoky sú dobre naplánované a cielene zamerané na organizácie s potenciálom zaplatiť vysoké výkupné.
- Vysoké výkupné: Skupina je známa svojimi vysokými požiadavkami na výkupné. Ich útoky často vedú k obrovským platbám výkupného, čo môže spôsobiť vážne finančné ťažkosti pre ich obete.
- Metóda Double Extortion: Podobne ako iné skupiny, aj Ryuk často využíva metódu „double extortion“. Okrem šifrovania dát si uchováva kópiu dát a vyhráža sa ich zverejnením, čo zvyšuje tlak na obeť, aby výkupné zaplatila.
- Globálne pôsobenie: Skupina operuje globálne a ich útoky sú zaznamenané po celom svete. Ich členovia operujú anonymne a často sa ukrývajú za rôznymi online identitami, čo im umožňuje uniknúť spravodlivosti.
- Atribúcia: Skupina Ryuk (predchádzajúci názov skupiny bol Wizard Spider) je atribuovaná Rusku napriek tomu, že pravdepodobne pri jej vzniku v 2018 stála Severná Korea.
REvil (Sodinokibi)
Skupina REvil, tiež známa ako Sodinokibi, patrila medzi jednu z najznámejších a najnebezpečnejších skupín pôsobiacich v kybernetickom podsvetí. Ich pôsobenie siaha do oblasti ransomvéru a kybernetickej vydieračskej činnosti a ich útoky sú zamerané na široké spektrum cieľov po celom svete.
Základné informácie o skupine REvil:
- Sofistikovanosť a profesionalita: Skupina sa vyznačuje vysokou úrovňou technickej zdatnosti a sofistikovanými taktikami. Ich útoky sú dobre naplánované a cielene zamerané na organizácie, ktoré majú potenciál zaplatiť vysoké sumy výkupného.
- Veľké ciele: Skupina sa nezastavuje pred ničím, jej útoky zahŕňajú veľké korporácie, zdravotnícke inštitúcie, finančné spoločnosti a ďalšie kľúčové odvetvia. Jej cieľom je často získať prístup k citlivým údajom a informáciám, aby ich mohli využiť na vydieranie alebo ďalšie nekalé účely.
- Vysoké výkupné: Skupina je známa svojimi vysokými požiadavkami na výkupné. Ich útoky často vedú k obrovským platbám výkupného, ktoré môžu spôsobiť vážne finančné ťažkosti pre ich obete.
- Globálne pôsobenie: Skupina pôsobí globálne a ich útoky sú zaznamenané po celom svete. Ich členovia operujú anonymne a často sa ukrývajú za rôznymi online identitami, čo im umožňuje uniknúť spravodlivosti.
- Neustále vývoj: Ako typická skupina kybernetických zločincov, aj skupina REvil neustále vyvíja svoje taktiky a metódy útoku, aby sa vyhla detekcii a zvýšila svoje zisky.
Skupina Conti
Skupina Conti je jednou z významných skupín pôsobiacich v kybernetickom podsvetí so špecializáciou na ransomvérové útoky a kybernetickú vydieračskú činnosť.
Základné informácie o tejto skupine:
- Agresívna taktika: Conti sa vyznačuje agresívnou taktikou a rýchlym šírením ransomvéru. Ich útoky sú dobre naplánované a cielene zamerané na organizácie s potenciálom zaplatiť vysoké výkupné.
- Rýchle šírenie: Skupina je známa svojou schopnosťou rýchlo sa šíriť cez siete organizácií a infikovať veľký počet systémov a zariadení. Ich útoky môžu mať okamžitý a rozsiahly vplyv na prevádzku a bezpečnosť postihnutých organizácií.
- Zameranie na veľké korporácie: Conti často zameriava svoje útoky na veľké korporácie, finančné inštitúcie a zdravotnícke organizácie, ktoré majú potenciál zaplatiť vysoké sumy výkupného za dešifrovanie ich dát.
- Profesionálny prístup: Skupina prevádzkuje svoje operácie s profesionálnou úrovňou organizácie a sofistikovanosti. Ich členovia majú technické znalosti a schopnosti na vykonávanie zločineckých aktivít s maximálnou efektivitou.
- Neustále vývoj: Ako typická skupina kybernetických zločincov, aj Conti neustále vyvíja svoje taktiky a metódy útoku, aby sa vyhla detekcii a zvýšila svoje zisky. Ich schopnosť adaptovať sa na nové bezpečnostné opatrenia ich robí nebezpečnými protivníkmi pre organizácie a jednotlivcov.
- Atribúcia: Ransomvér Conti pravdepodobne prevádzkuje rovnaká skupina ako ransomjvér Ryuk – skupina Wizard Spider, ktorá je atribuovaná Rusku, a operuje z St. Peterburgu. Niektorí výskumníci a vyšetrovatelia považujú Conti za nástupcu ransomvéru Ryuk.
Skupina DarkSide
Skupina DarkSide je jednou z kontroverzných skupín.
Tu sú niektoré známe aspekty z činnosti tejto skupiny:
- Vznik a aktivity: DarkSide sa objavil na scéne kybernetickej kriminality v roku 2020 a rýchlo sa stal jednou z najznámejších a najkontroverznejších skupín v tejto oblasti. Ich hlavným cieľom je vykonávať útoky typu ransomvéru na veľké spoločnosti a organizácie.
- Profesionálny prístup: Skupina operuje s vysokou úrovňou profesionalizmu a technickej zdatnosti. Ich útoky sú dobre naplánované a cielene zamerané na organizácie s vysokými finančnými zdrojmi.
- „Ransomware as a Service“ model: Jedným z charakteristických rysov skupiny DarkSide je model „Ransomware as a Service“ (RaaS). Tento model umožňuje iným zločineckým skupinám využívať ich ransomvérové nástroje a infraštruktúru na vlastné útoky výmenou za časť výkupného.
- Vysoké výkupné: DarkSide je známy svojimi vysokými požiadavkami na výkupné. Ich útoky často vedú k obrovským platbám výkupného, čo môže mať vážne finančné dôsledky pre postihnuté organizácie.
- Medzinárodná prítomnosť: Skupina DarkSide operuje na medzinárodnej úrovni a ich útoky sú zaznamenané po celom svete. Ich členovia často operujú anonymne a používajú rôzne techniky na skrytie svojej identity a pôvodu.
- Kontroverzie: DarkSide sa stal predmetom kontroverzií kvôli svojmu údajnému zapojeniu sa do útokov na kritické infraštruktúry, ako sú energetické zdroje a dopravné siete, čo spôsobilo obavy o národnú bezpečnosť a stabilitu.
- Atribúcia: Skupina DarkSide je atribuovaná Rusku ale pravdepodobne (na rozdiel od väčšiny ostatných skupín atribuovaných Rusku) bez účasti (riadenia) ruskou vládou. Skupina sa vyhýba útokom vo vybraných geografických oblastiach (hlavne v Rusku a vybraných post-sovietskych republikách a Sýrii) a to podľa nastavení jazyka v napadnutých systémoch.
Skupina DarkSide získala pozornosť a široké mediálne pokrytie vďaka niektorým z ich najznámejších a najúspešnejších útokov na veľké organizácie a inštitúcie. Medzi najznámejší útok jednoznačne patrí úspešný útok na Colonial Pipeline. Útok na Colonial Pipeline bol jedným z najvýznamnejších útokov na kritickú infraštruktúru v Spojených štátoch. Dňa 7. mája 2021 bola spoločnosť Colonial Pipeline, prevádzkovateľ plynovodu prepravujúceho približne 45 % pohonných hmôt pre východné pobrežie USA, cieľom útoku skupiny DarkSide, známej svojimi ransomvérovými útokmi. Útok bol vedený najmä na ekonomický a fakturačný systém firmy.
Po útoku bola prevádzka plynovodu dočasne pozastavená, čo vyvolalo obavy o dodávky pohonných hmôt a vyvolalo paniku medzi spotrebiteľmi. Colonial Pipeline bol nútený zaplatiť výkupné v hodnote asi 4,4 milióna dolárov v kryptomene Bitcoin, aby získal prístup k dešifrovaciemu kľúču a obnovil svoje systémy.
Tento útok zdôraznil zraniteľnosť kritických infraštruktúr voči kybernetickým hrozbám a potrebu zvýšenej pozornosti v oblasti kybernetickej bezpečnosti. Okrem toho ukázal, že kybernetické zločinecké skupiny sú stále schopné vyvolať veľké ekonomické škody a destabilizovať kľúčové odvetvia aj vo vyspelých krajinách. Aby sa predišlo podobným útokom v budúcnosti, je nevyhnutné, aby organizácie investovali do zlepšenia svojich bezpečnostných opatrení a zvýšili svoju schopnosť rýchlo a účinne reagovať na kybernetické hrozby.