Καθώς οι ομάδες ransomware μετακινούνται όλο και περισσότερο πέρα από την απλή κρυπτογράφηση των αρχείων των θυμάτων και την απαίτηση πληρωμής για να τα ξεκλειδώσουν, μερικές από τις πιο ώριμες εγκληματικές οργανώσεις αναπτύσσουν προσαρμοσμένο malware για την κλοπή δεδομένων.
Δείτε επίσης: Οι ομάδες Ransomware στρέφονται στην αμυντική αποφυγή
Σε μια έκθεση που δημοσιεύθηκε την Τετάρτη από τη Cisco Talos, εξετάστηκαν οι 14 κορυφαίες ομάδες ransomware και αναλύθηκαν οι τακτικές, οι τεχνικές και οι διαδικασίες τους (TTP). Η Talos επέλεξε τις 14 με βάση τον όγκο και τον αντίκτυπο των επιθέσεων και την «άτυπη συμπεριφορά του παράγοντα απειλής», χρησιμοποιώντας δεδομένα από τοποθεσίες διαρροής των εγκληματιών, εσωτερική παρακολούθηση και άλλες αναφορές ανοιχτού κώδικα.
Οι 14 ομάδες ransomware, που αναφέρονται με βάση τον αριθμό των θυμάτων επιθέσεων malware στις αντίστοιχες ιστοσελίδες shaming, είναι αυτές που θα περίμενε κανείς: LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal/Blacksuit, Rhysida, Hunters International , Akira και Trigona.
Επιπλέον, όσες συμμορίες στρέφονται σε τακτικές διπλού εκβιασμού, όπως είδαμε στις πρόσφατες επιθέσεις υψηλού προφίλ εναντίον του παρόχου υπηρεσιών παθολογίας των νοσοκομείων του Λονδίνου Synnovis και του οίκου δημοπρασιών Christie’s, μεταξύ άλλων, μερικά πιο καθιερωμένα ransomware-as-a- service αναπτύσσουν κατά παραγγελία κακόβουλο λογισμικό για την εξαγωγή δεδομένων, σύμφωνα με την Talos.
Δείτε ακόμα: Avast: Εργαλείο αποκρυπτογράφησης για DoNex, Muse, DarkRace ransomware
Χρησιμοποιώντας αυτό το είδος τακτικής, οι απατεώνες θα εισβάλουν πρώτα στο δίκτυο των θυμάτων τους, θα κατασκοπεύσουν και θα κλέψουν πολύτιμα αρχεία και μόνο στη συνέχεια θα κρυπτογραφήσουν τα δεδομένα στο δίκτυο. Γενικά, δημοσιεύουν επίσης τα ονόματα των θυμάτων στους ιστότοπους διαρροής τους, εκβιάζουν (ή τουλάχιστον προσπαθούν να εκβιάσουν) τις οργανώσεις για τεράστια χρηματικά ποσά και, στη συνέχεια, εάν και όταν διακοπούν οι διαπραγματεύσεις, οι εγκληματίες θα διαρρεύσουν δείγμα των κλεμμένων δεδομένων να αυξήσει περαιτέρω την πίεση στα θύματα να πληρώσουν τη ζήτηση λύτρων.
Το BlackByte και το LockBit είναι μεταξύ αυτών των πιο ώριμων ransomware-as-a-service που προσφέρουν προσαρμοσμένα εργαλεία εξαγωγής δεδομένων στις θυγατρικές τους.
Εν τω μεταξύ, το LockBit, πριν αποσυναρμολογηθεί από διεθνείς αστυνομικούς τον Φεβρουάριο, είχε το δικό του ιδιόκτητο κακόβουλο λογισμικό StealBit.
Δείτε επίσης: Η STORMOUS Ransomware ισχυρίζεται παραβίαση της HITC Telecom
Οι ομάδες ransomware είναι οργανωμένες οντότητες κυβερνοεγκληματικότητας που αναπτύσσουν ransomware και χρησιμοποιούν malware, για να εκβιάζουν χρήματα από άτομα, επιχειρήσεις, ακόμη και κρατικούς θεσμούς. Αυτές οι ομάδες σχεδιάζουν κακόβουλο λογισμικό που κρυπτογραφεί τα δεδομένα του θύματος, καθιστώντας τα απρόσιτα μέχρι να πληρωθούν τα λύτρα, συχνά σε κρυπτονομίσματα για να διατηρηθεί η ανωνυμία. Ιδιαίτερα εξελιγμένες, αυτές οι ομάδες λειτουργούν συχνά με υψηλό επίπεδο επαγγελματισμού, χρησιμοποιώντας στρατηγικές όπως ο διπλός εκβιασμός, όπου απειλούν να αποδεσμεύσουν κλεμμένα δεδομένα εάν δεν πληρωθούν τα λύτρα. Εξέχουσες ομάδες ransomware όπως το REvil, το Conti και το DarkSide έχουν γίνει πρωτοσέλιδα για τις επιθέσεις υψηλού προφίλ τους και τις σημαντικές οικονομικές επιπτώσεις στους στόχους τους.
Πηγή: theregister
