Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

5 najgroźniejszych grup ransomware. Jak chronić sieć przed ich atakami?

5 najgroźniejszych grup ransomware. Jak chronić sieć przed ich atakami?

Raporty Cisco Talos wskazują, że środowisko cyberzagrożeń staje się coraz bardziej skomplikowane i dynamiczne, z rosnącą liczbą grup ransomware. Biorąc pod uwagę techniki działania, używane narzędzia i typowe cele ataków, eksperci Cisco Talos zidentyfikowali pięć grup ransomware, które od 2023 roku były szczególnie aktywne i stanowiły poważne zagrożenie dla globalnych organizacji. 

1. LockBit

LockBit jest jedną z najdłużej działających grup, którą charakteryzuje duża systematyczność i dokładność. Grupa automatyzuje swoje działania w celu optymalizacji procesu infekcji i zwiększenia skuteczności, dzięki czemu szybko osiągnęła pozycję lidera na rynku ransomware.

Lockbit nie ma jasno sprecyzowanej grupy ofiar, wyróżniając się atakowaniem oportunistycznym (opportunistic targeting), wobec czego ich działania są trudne do przewidzenia.

Grupa uzyskuje dostęp do sieci swoich ofiar poprzez phishing, wykorzystując skradzione dane uwierzytelniające oraz publiczne aplikacje i protokół zdalnego pulpitu (RDP). Po włamaniu ransomware rozprzestrzenia się w sieci, używając wstępnie skonfigurowanych, zakodowanych poświadczeń lub poprzez naruszenie kont z rozszerzonymi uprawnieniami.

LockBit może być również rozprzestrzeniany za pomocą obiektów zasad grupy (GPO) oraz PsExec z wykorzystaniem protokołu SMB.

LockBit wykorzystuje narzędzia proste w obsłudze, dzięki czemu nawet mniej doświadczeni hakerzy są w stanie przeprowadzić atak. Programy jakie wykorzystują to:  Cobalt Strike, AnyDesk, Mimikatz, Metasploit, Chocolatey, FileZilla, Stealbit infostealer, TDSSKiller EDR disabler oraz Thundershell. 

2. AlphV/BlackCat

Kolejna grupa ransomware, która dała o sobie znać w ostatnich miesiącach to AlphV, znana szerzej pod nazwą BlackCat. Jest wysoce wykwalifikowaną grupą oferującą usługi ransomware-as-a-service (RaaS). AlphV cieszy się sporym zainteresowaniem wśród hakerów, ponieważ członkowie mogą zatrzymać nawet 90 procent zysku, w zależności od kwoty okupu. 

AlphV/BlackCat stosuje taktykę potrójnego wymuszenia, co oznacza, że wykrada dane przed zaszyfrowaniem urządzeń, grożąc ich opublikowaniem, a także przeprowadza ataki DDoS, jeśli okup nie zostanie zapłacony.

Jako pierwsza grupa ransomware, skomercjalizowała oprogramowanie oparte na języku kodowania Rust, otwierając sobie tym samym furtkę do realizowania ataków na skalę globalną. 

W przeciwieństwie do Lockbit, AlphV atakuje wybrane organizacje z Ameryki Południowej i Europy, a wartość ich okupów według niektórych danych sięga nawet 14 milionów dolarów. ALPHV używa wielu narzędzi do realizacji swoich operacji, w tym LaZagne stealer, WebBrowserPassView stealer, WinRM, Reverse SSH tunnels, Impacket, ScreenConnect, PowerShell oraz zdalnego protokołu pulpitu (RDP).

3. Play

Grupa Play, która pojawiła się w czerwcu 2022 roku, szybko zyskała na znaczeniu, stosując innowacyjne metody, takie jak technika szyfrowania przerywanego, polegająca na kodowaniu jedynie części każdego pliku.

Ich główne metody zdobywania początkowego dostępu obejmują wykorzystanie aktywnych kont, atakowanie odsłoniętych serwerów RDP oraz luki w zabezpieczeniach aplikacji publicznych.  Wykorzystują narzędzia takie jak: GMER, IOBit, Process Hacker Adfind, Bloodhound, Grixba, Netscan, Nltest, PowerTool, Cobalt Strike, SystemBC, PowerShell Empire, WinSCP oraz VSS Shadow Copy Tool.

Współdzieląc techniki z innymi znanymi grupami, takimi jak Hive i Nokoyawa, Play demonstruje wysoki poziom adaptacji i ewolucji w swoich działaniach, ponieważ metody zdobywania początkowego dostępu przez grupę Play różnią się w zależności od konkretnego przypadku i ewoluują w miarę pojawiania się nowych luk w zabezpieczeniach.

Tak jak Lockbit, nie mają jasno sprecyzowanej branży, którą atakują, wobec czego są jeszcze trudniejsi w uchwyceni. 

4. 8base

Grupa ransomware 8base, aktywna od marca 2022 roku i działająca w modelu RaaS, szybko zyskała na rozgłosie dzięki atakom, które nasiliły się w czerwcu 2023 roku. 8base, bazując na zmodyfikowanym wariancie Phobos, wykorzystuje algorytm szyfrowania AES-256 w trybie Cipher Block Chaining (CBC) oraz dystrybuuje swoje oprogramowanie za pomocą bota SmokeLoader.

Ataki grupy obejmują różne branże, koncentrując się głównie na organizacjach w USA i Brazylii. Narzędzia używane przez 8base, takie jak AnyDesk, PSExec, PuTTy, Advanced IP Scanner oraz Netscan, wspierają przeprowadzanie ataków, zarządzanie złośliwym oprogramowaniem i rozprzestrzenianie się w sieci ofiar. Narzędzia wykorzystywane przez tę grupę to m.in. SmokeLoader, AnyDesk, PSExec, PuTTY, Advanced IP Scanner oraz Netscan.

5. Black Basta

Black Basta stosuje strategię podwójnego wymuszenia, publikując eksfiltrowane dane na swojej stronie z wyciekami. Grupa, prawdopodobnie powiązana z ransomware Conti, używa narzędzi takich jak Qakbot, Mimikatz, Brute Ratel, Cobalt Strike, PSExec, vssadmin.exe, a także Rclone. 

Black Basta działa w Australii, Nowej Zelandii, USA, Wielkiej Brytanii, Kanady, Niemiec, Szwajcarii, Włoch, Francji i Niderlandów, atakując głównie sektor rolnictwa, produkcji, opieki zdrowotnej, transportu, doradztwa i nieruchomości. Korzystając z zaawansowanych technik unikania wykrycia oraz mechanizmów odpowiedzi, zdecydowanie zwiększa skuteczność swoich ataków.

Ransomware Black Basta został napisany w języku C++ i  jak wiele innych grup wykorzystuje model RaaS. Korzysta także z commodity loaders, które są często dystrybuowane za pośrednictwem przejętych wątków wiadomości e-mail i załączników z obsługą makr. Dodatkowo, Black Basta korzysta z aplikacji publicznych i stosuje unikalne mechanizmy wykrywania punktów końcowych oraz techniki unikania odpowiedzi, co zwiększa skuteczność ich ataków.

Analizując działalność powyższych grup ransomware, eksperci z Cisco Talos zwracają uwagę na różnorodność i złożoność technik stosowanych przez te grupy. Od ataków phishingowych po wykorzystanie zaawansowanych narzędzi do unikania wykrycia, hakerzy nieustannie rozwijają swoje metody, aby skuteczniej atakować organizacje na całym świecie. 

Firmy muszą zastosować zaawansowane rozwiązania zabezpieczające i być gotowe do szybkiego reagowania na incydenty, aby zmniejszyć ryzyko cyberataków.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa