Ransomware er en betydelig trusselvektor, som koster bedrifter, selskaper og infrastrukturoperatører milliarder av dollar årlig. Bak disse truslene ligger profesjonelle løsepenge-gjenger som lager og distribuerer skadelig programvare som gjør angrepene mulig.
Noen av disse gruppene angriper ofre direkte, mens andre kjører den populære Ransomware-as-a-Service (RaaS)-modellen som gjør det mulig for tilknyttede selskaper å presse ut bestemte organisasjoner.
Med løsepengevaretrusselen stadig økende, er det å kjenne fienden og hvordan de opererer den eneste måten å ligge i forkant. Så her er en liste over de fem mest dødelige løsepengevaregruppene som forstyrrer cybersikkerhetslandskapet.
1. REvil
REvil ransomware-gruppen, a.k.a. Sodinokibi, er en Russland-basert løsepengevare-som-en-tjeneste (RaaS) operasjon som først dukket opp i april 2019. Det regnes som en av de mest hensynsløse løsepengevaregruppene med koblinger til det russiske føderale tjenestebyrået (FSB).
Gruppen tiltrakk seg raskt oppmerksomheten til cybersikkerhetseksperter for sin tekniske dyktighet og frekkheten til å gå etter høyprofilerte mål. 2021 var det mest lønnsomme året for konsernet da det var rettet mot flere multinasjonale foretak og forstyrret flere bransjer.
Store ofre
I mars 2021, REvil angrep elektronikk- og maskinvareselskapet Acer og kompromitterte sine servere. Angriperne krevde 50 millioner dollar for en dekrypteringsnøkkel og truet med å øke løsepengene til 100 millioner dollar hvis selskapet ikke innfrir gruppens krav.
En måned senere gjennomførte gruppen nok et høyt profilert angrep mot Apple-leverandøren, Quanta Computers. Det forsøkte å utpresse både Quanta og Apple, men ingen av selskapene betalte den krevde løsepengen på 50 millioner dollar.
REvil ransomware-gruppen fortsatte sin hacking-spree og målrettet mot JBS Foods, Invenergy, Kaseya og flere andre virksomheter. JBS Foods ble tvunget til midlertidig å legge ned driften og betalte anslagsvis 11 millioner dollar løsepenger i Bitcoin for å gjenoppta driften.
De Kaseya angrep brakte uønsket oppmerksomhet til gruppen ettersom den direkte berørte mer enn 1500 virksomheter over hele verden. Etter litt diplomatisk press arresterte russiske myndigheter flere gruppemedlemmer i januar 2022 og beslagla eiendeler verdt millioner av dollar. Men denne forstyrrelsen var kortvarig da REvil ransomware-gjeng har vært i gang igjen siden april 2022.
2. Conti
Conti er en annen beryktet løsepengevaregjeng som har skapt overskrifter siden slutten av 2018. Den bruker dobbel utpressingsmetode, noe som betyr at gruppen holder tilbake dekrypteringsnøkkelen og truer med å lekke sensitive data hvis løsepengene ikke betales. Den driver til og med et lekkasjenettsted, Conti News, for å publisere de stjålne dataene.
Det som gjør Conti forskjellig fra andre løsepengevaregrupper er mangelen på etiske begrensninger på målene. Den gjennomførte flere angrep i utdannings- og helsesektoren og krevde millioner av dollar i løsepenger.
Store ofre
Conti ransomware-gruppen har en lang historie med å målrette kritiske offentlige infrastrukturer som helsevesen, energi, IT og landbruk. I desember 2021 rapporterte gruppen at den kompromitterte Indonesias sentralbank og stjal sensitive data på 13,88 GB.
I februar 2022 angrep Conti en internasjonal terminaloperatør, SEA-invest. Selskapet driver 24 havner over hele Europa og Afrika og spesialiserer seg på håndtering av tørr bulk, frukt og mat, flytende bulk (olje og gass) og containere. Angrepet påvirket alle de 24 havnene og forårsaket betydelige forstyrrelser.
Conti hadde også kompromittert Broward County Public Schools i april og krevde 40 millioner dollar i løsepenger. Gruppen lekket stjålne dokumenter på bloggen sin etter at distriktet nektet å betale løsepenger.
Nylig måtte den costaricanske presidenten erklære en nasjonal nødsituasjon etter angrep fra Conti på flere offentlige etater.
3. Mørk side
DarkSide løsepenge-gruppen følger RaaS-modellen og retter seg mot store bedrifter for å presse store mengder penger. Den gjør det ved å få tilgang til et selskaps nettverk, vanligvis gjennom phishing eller brute force, og krypterer alle filene på nettverket.
Det er flere teorier om opprinnelsen til DarkSide ransomware-gruppen. Noen analytikere tror det er basert i Øst-Europa, et sted i Ukraina eller Russland. Andre mener at gruppen har franchiser i flere land, inkludert Iran og Polen.
Store ofre
DarkSide-gruppen stiller store krav om løsepenger, men hevder å ha en etiske retningslinjer. Gruppen hevder at den aldri retter seg mot skoler, sykehus, offentlige institusjoner og infrastruktur som påvirker publikum.
Imidlertid gjennomførte DarkSide i mai 2021 Kolonialrørledningsangrep og krevde 5 millioner dollar i løsepenger. Det var det største cyberangrepet mot oljeinfrastruktur i USAs historie og forstyrret tilgangen på bensin og flydrivstoff i 17 stater.
Hendelsen utløste samtaler om sikkerheten til kritisk infrastruktur og hvordan myndigheter og selskaper må være mer påpasselige med å beskytte dem.
Etter angrepet prøvde DarkSide-gruppen å rense navnet sitt ved å skylde på tredjeparts tilknyttede selskaper for angrepet. Imidlertid, iht Washington Post, bestemte gruppen seg for å legge ned sin virksomhet etter økende press fra USA.
4. DoppelPaymer
DoppelPaymer ransomware er en etterfølger av BitPaymer ransomware som først dukket opp i april 2019. Den bruker den uvanlige metoden for å ringe ofre og kreve løsepenger i bitcoins.
DoppelPaymer hevder å være basert i Nord-Korea og følger ransomware-modellen for dobbel utpressing. Gruppens aktivitet avtok uker etter Colonial Pipeline-angrepet, men analytikere mener den omdøpte seg til Grief-gruppen.
Store ofre
DopplePaymer retter seg ofte mot oljeselskaper, bilprodusenter og kritiske bransjer som helsevesen, utdanning og nødtjenester. Det er den første løsepengevaren som forårsaket en pasients død i Tyskland etter at nødhjelpspersonellet ikke kunne kommunisere med sykehuset.
Gruppen skapte overskrifter da den publiserte velgerinformasjon fra Hall County, Georgia. I fjor kompromitterte den også de kundevendte systemene til Kia Motors America og stjal sensitive data. Gruppen krevde 404 bitcoins i løsepenger, omtrent tilsvarende 20 millioner dollar den gang.
5. LockBit
LockBit har i det siste vært en av de mest fremtredende løsepengevaregjengene, takket være nedgangen til andre grupper. Siden sin første opptreden i 2019, har LockBit sett enestående vekst og utviklet taktikken betydelig.
LockBit startet som en lavprofilert gjeng, men ble populær med lanseringen av LockBit 2.0 sent i 2021. Gruppen følger RaaS-modellen og bruker den doble utpressingstaktikken for å utpresse ofre.
Store ofre
LockBit er for tiden en effektiv løsepengevaregruppe, som står for over 40 prosent av alle løsepengevareangrep i mai 2022. Den angriper organisasjoner i USA, Kina, India og Europa.
Tidligere i år siktet LockBit seg mot Thales Group, et fransk multinasjonal innen elektronikk, og truet med å lekke sensitive data dersom selskapet ikke oppfyller gruppens krav om løsepenger.
Det kompromitterte også det franske justisdepartementet og krypterte filene deres. Gruppen hevder nå å ha brutt det italienske skattebyrået (L'Agenzia delle Entrate) og stjålet 100 GB data.
Beskyttelse mot ransomware-angrep
Ransomware fortsetter å være en blomstrende svartemarkedsindustri, og genererer milliarder av dollar i inntekter til disse beryktede gjengene hvert år. Gitt de økonomiske fordelene og den økende tilgjengeligheten til RaaS-modellen, vil truslene bare øke.
Som med all malware er det å være årvåken og bruke passende sikkerhetsprogramvare skritt i riktig retning for å bekjempe løsepengeprogramvare. Hvis du ikke er klar til å investere i et førsteklasses sikkerhetsverktøy ennå, kan du bruke Windowss innebygde løsepengebeskyttelsesverktøy for å holde PC-en din trygg.
