Il ransomware è un vettore di minacce significativo, che costa ad aziende, società e operatori di infrastrutture miliardi di dollari all'anno. Dietro queste minacce si nascondono bande di ransomware professionali che creano e distribuiscono malware che rendono possibili gli attacchi.
Alcuni di questi gruppi attaccano direttamente le vittime, mentre altri eseguono il popolare modello Ransomware-as-a-Service (RaaS) che consente agli affiliati di estorcere organizzazioni specifiche.
Con la minaccia del ransomware in costante aumento, conoscere il nemico e come operano è l'unico modo per stare al passo. Quindi, ecco un elenco dei primi cinque gruppi di ransomware più letali che sconvolgono il panorama della sicurezza informatica.
1. REvil
Il gruppo ransomware REvil, alias Sodinokibi, ha sede in Russia ransomware-as-a-service (RaaS) operazione apparsa per la prima volta nell'aprile 2019. È considerato uno dei gruppi ransomware più spietati con collegamenti alla Russian Federal Service Agency (FSB).
Il gruppo ha rapidamente attirato l'attenzione dei professionisti della sicurezza informatica per la sua abilità tecnica e l'audacia di perseguire obiettivi di alto profilo. Il 2021 è stato l'anno più redditizio per il gruppo in quanto ha preso di mira più imprese multinazionali e ha sconvolto diversi settori.
Vittime maggiori
Nel marzo 2021, REvil ha attaccato la società di elettronica e hardware Acer e ha compromesso i suoi server. Gli aggressori hanno chiesto 50 milioni di dollari per una chiave di decrittazione e hanno minacciato di aumentare il riscatto a 100 milioni di dollari se la società non avesse soddisfatto le richieste del gruppo.
Un mese dopo, il gruppo ha effettuato un altro attacco di alto profilo contro il fornitore Apple, Quanta Computers. Ha tentato di ricattare sia Quanta che Apple, ma nessuna delle due società ha pagato il riscatto richiesto di $ 50 milioni.
Il gruppo ransomware REvil ha continuato la sua follia di hacking e ha preso di mira JBS Foods, Invenergy, Kaseya e molte altre aziende. JBS Foods è stata costretta a chiudere temporaneamente le sue operazioni e ha pagato un riscatto stimato di 11 milioni di dollari in Bitcoin per riprendere le operazioni.
Il Attacco di Kaseya ha attirato un'attenzione indesiderata sul gruppo poiché ha colpito direttamente più di 1.500 aziende in tutto il mondo. A seguito di alcune pressioni diplomatiche, le autorità russe hanno arrestato diversi membri del gruppo nel gennaio 2022 e sequestrato beni per milioni di dollari. Ma questa interruzione è stata di breve durata come il La banda di ransomware REvil è stata ripristinata e funzionante da aprile 2022.
2. Conti
Conti è un'altra famigerata banda di ransomware che fa notizia dalla fine del 2018. Usa il metodo della doppia estorsione, il che significa che il gruppo trattiene la chiave di decrittazione e minaccia di far trapelare dati sensibili se il riscatto non viene pagato. Gestisce persino un sito Web di fuga, Conti News, per pubblicare i dati rubati.
Ciò che rende Conti diverso dagli altri gruppi di ransomware è la mancanza di limitazioni etiche sui suoi obiettivi. Ha condotto diversi attacchi nei settori dell'istruzione e della sanità e ha chiesto un riscatto di milioni di dollari.
Vittime maggiori
Il gruppo di ransomware Conti ha una lunga storia nel prendere di mira infrastrutture pubbliche critiche come assistenza sanitaria, energia, IT e agricoltura. Nel dicembre 2021, il gruppo ha riferito di aver compromesso la banca centrale indonesiana e di aver rubato dati sensibili pari a 13,88 GB.
Nel febbraio 2022 Conti ha attaccato un terminal operator internazionale, SEA-invest. L'azienda gestisce 24 porti marittimi in Europa e Africa ed è specializzata nella movimentazione di rinfuse secche, frutta e cibo, rinfuse liquide (petrolio e gas) e container. L'attacco ha colpito tutti i 24 porti e ha causato notevoli disagi.
Conti aveva anche compromesso le scuole pubbliche della contea di Broward ad aprile e aveva chiesto un riscatto di 40 milioni di dollari. Il gruppo ha fatto trapelare documenti rubati sul suo blog dopo che il distretto si è rifiutato di pagare il riscatto.
Più recentemente, il presidente costaricano ha dovuto dichiarare l'emergenza nazionale a seguito degli attacchi di Conti a diverse agenzie governative.
3. Lato oscuro
Il gruppo ransomware DarkSide segue il modello RaaS e prende di mira le grandi aziende per estorcere ingenti somme di denaro. Lo fa accedendo alla rete di un'azienda, solitamente tramite phishing o forza bruta, e crittografa tutti i file sulla rete.
Esistono diverse teorie sulle origini del gruppo ransomware DarkSide. Alcuni analisti pensano che abbia sede nell'Europa orientale, da qualche parte in Ucraina o Russia. Altri credono che il gruppo abbia franchising in più paesi, tra cui Iran e Polonia.
Vittime maggiori
Il gruppo DarkSide fa enormi richieste di riscatto ma afferma di avere un codice di condotta. Il gruppo afferma di non prendere mai di mira scuole, ospedali, istituzioni governative e qualsiasi infrastruttura che influisca sul pubblico.
Tuttavia, a maggio 2021, DarkSide ha eseguito il Attacco all'oleodotto coloniale e ha chiesto 5 milioni di dollari di riscatto. È stato il più grande attacco informatico alle infrastrutture petrolifere nella storia degli Stati Uniti e ha disturbato la fornitura di benzina e carburante per aerei in 17 stati.
L'incidente ha acceso discussioni sulla sicurezza delle infrastrutture critiche e su come i governi e le aziende debbano essere più diligenti nel proteggerle.
Dopo l'attacco, il gruppo DarkSide ha cercato di riabilitare il proprio nome incolpando affiliati di terze parti per l'attacco. Tuttavia, secondo Il Washington Post, il gruppo ha deciso di chiudere le sue attività dopo le crescenti pressioni degli Stati Uniti.
4. DoppelPaymer
Il ransomware DoppelPaymer è un successore del ransomware BitPaymer apparso per la prima volta nell'aprile 2019. Utilizza il metodo insolito di chiamare le vittime e chiedere un riscatto in bitcoin.
DoppelPaymer afferma di avere sede in Corea del Nord e segue il modello di ransomware a doppia estorsione. L'attività del gruppo è diminuita settimane dopo l'attacco al Colonial Pipeline, ma gli analisti ritengono che si sia rinominato gruppo Grief.
Vittime maggiori
DopplePaymer prende spesso di mira compagnie petrolifere, case automobilistiche e settori critici come assistenza sanitaria, istruzione e servizi di emergenza. È il primo ransomware che ha causato la morte di un paziente in Germania dopo che il personale del servizio di emergenza non è stato in grado di comunicare con l'ospedale.
Il gruppo ha fatto notizia quando ha pubblicato le informazioni sugli elettori dalla contea di Hall, in Georgia. L'anno scorso, ha anche compromesso i sistemi rivolti ai clienti di Kia Motors America e ha rubato dati sensibili. Il gruppo ha chiesto 404 bitcoin come riscatto, all'incirca equivalenti a $ 20 milioni all'epoca.
5. LockBit
LockBit è stata ultimamente una delle bande di ransomware più importanti, grazie al declino di altri gruppi. Dalla sua prima apparizione nel 2019, LockBit ha visto una crescita senza precedenti e ha evoluto in modo significativo le sue tattiche.
LockBit ha iniziato inizialmente come una banda di basso profilo, ma ha guadagnato popolarità con il lancio di LockBit 2.0 alla fine del 2021. Il gruppo segue il modello RaaS e utilizza la tattica della doppia estorsione per ricattare le vittime.
Vittime maggiori
LockBit è attualmente un gruppo ransomware di grande impatto, che ha rappresentato oltre il 40% di tutti gli attacchi ransomware nel maggio 2022. Attacca le organizzazioni negli Stati Uniti, in Cina, in India e in Europa.
All'inizio di quest'anno, LockBit ha preso di mira Thales Group, una multinazionale francese dell'elettronica, e ha minacciato di far trapelare dati sensibili se l'azienda non avesse soddisfatto le richieste di riscatto del gruppo.
Ha anche compromesso il Ministero della Giustizia francese e ha crittografato i loro file. Il gruppo ora sostiene di aver violato l'Agenzia delle Entrate italiana (L'Agenzia delle Entrate) e rubato 100 GB di dati.
Protezione dagli attacchi ransomware
Il ransomware continua a essere una fiorente industria del mercato nero, generando miliardi di dollari di entrate per queste famigerate bande ogni anno. Dati i vantaggi finanziari e la crescente disponibilità del modello RaaS, le minacce sono destinate ad aumentare.
Come con qualsiasi malware, essere vigili e utilizzare un software di sicurezza appropriato sono passi nella giusta direzione per combattere il ransomware. Se non sei ancora pronto per investire in uno strumento di sicurezza premium, puoi utilizzare gli strumenti di protezione ransomware integrati di Windows per proteggere il tuo PC.
