Środowisko cyberzagrożeń jest coraz bardziej złożone i dynamiczne. Stale zwiększa się liczba rosnących w siłę grup ransomware. Eksperci Cisco Talos przeanalizowali działalność pięciu z nich. Tych, które od 2023 roku były najbardziej aktywne i niebezpieczne dla organizacji z całego świata. Pod lupę wzięto techniki ich działania, narzędzia które wykorzystują oraz wiktymologię. LockBit To jedna z najdłużej aktywnych grup ransomware. Działa bardzo dokładnie i systematycznie, wykorzystując automatyzację w celu przyspieszenia procesu infekcji oraz zwiększenia skuteczności. Narzędzie do szyfrowania danych, które wykorzystuje LockBit, jest proste w obsłudze. Pozwala ono nawet mniej doświadczonym cyberprzestępcom na efektywne przeprowadzanie ataków. Skuteczność grupy wynika również z szybkości przeprowadzanych ataków. LockBit osiągnął pozycję lidera i stał się jednym z największych zagrożeń cybernetycznych na rynku ransomware. Sposób działania: LockBit oraz ich brokerzy początkowego dostępu (IAB) uzyskują dostęp do sieci swoich ofiar poprzez phishing. Wykorzystują skradzione dane uwierzytelniające oraz publiczne aplikacje i protokół zdalnego pulpitu (RDP). Po uzyskaniu dostępu, ransomware rozprzestrzenia się w sieci, używając wstępnie skonfigurowanych zakodowanych poświadczeń lub poprzez naruszenie kont z rozszerzonymi uprawnieniami. LockBit można także dystrybuować za pomocą obiektów zasad grupy (GPO) oraz PsExec, przy użyciu protokołu SMB. Cechą charakterystyczną działalności LockBit jest powszechne i oportunistyczne targetowanie. Grupa ta atakowała wiele firm, różnej wielkości, niezależnie od branży. To czyni jej działania trudne do przewidzenia, a zasięg ataków jeszcze większy. Wykorzystywane narzędzia: LockBit wykorzystuje m.in. Cobalt Strike, AnyDesk, Mimikatz, Metasploit, Chocolatey, FileZilla, Stealbit infostealer, TDSSKiller EDR disabler oraz Thundershell. Narzędzia te pomagają w uzyskiwaniu dostępu, eskalacji uprawnień, wyłudzaniu danych oraz wyłączaniu oprogramowania zabezpieczającego. Połączenie niezawodnych narzędzi, jak i sprawdzonych metod działania sprawia, że ich ataki są niezwykle skuteczne i trudne do wcześniejszego wykrycia. AlphV/BlackCat ALPHV znana jest również pod nazwą BlackCat. To wysoce wykwalifikowana grupa ransomware oferująca usługi RaaS. Powstała w 2021 roku i zdążyła osiągnąć rozgłos jeszcze w tym samym roku. Grupa rekrutuje cyberprzestępców na rosyjskojęzycznych forach, kusząc ich lukratywnym zarobkiem. Partnerzy ALPHV mogą zatrzymać do 90% okupu, w zależności od zebranej kwoty. To sprawia, że jest wyjątkowo atrakcyjna dla potencjalnych współpracowników. Sposób działania: ALPHV stosuje taktykę potrójnego wymuszenia, która obejmuje kradzież danych przed zaszyfrowaniem urządzeń, groźby opublikowania tych danych oraz ataki DDoS. Jest to pierwsza grupa, która skomercjalizowała oprogramowanie ransomware oparte na języku kodowania Rust. Pozwoliło jej to na przeprowadzanie publicznych operacji cybernetycznych na dużą skalę. ALPHV atakuje organizacje w Europie i Ameryce Południowej. Raporty sugerują, że wartości okupów sięga od 400 000 do 3 milionów dolarów. Wykorzystywane narzędzia: ALPHV korzysta z różnorodnych narzędzi do przeprowadzania swoich operacji, w tym LaZagne stealer, WebBrowserPassView stealer, WinRM, Reverse SSH tunnels, Impacket, ScreenConnect, PowerShell oraz remote desktop protocol (RDP). Pomagają one w kradzieży danych, uzyskiwaniu zdalnego dostępu do systemów ofiar i przeprowadzaniu ataków. Tym samym czynią ALPHV jedną z najbardziej zaawansowanych i niebezpiecznych grup ransomware na świecie. Play Działalność grupy Play rozpoczęła się w czerwcu 2022 roku. Jej dotychczasowa aktywność sugeruje, że w kolejnych latach nadal pozostanie w czołówce cyberprzestępców. Play jest znana z przeprowadzania ataków podwójnego wymuszenia. Była także jedną z pierwszych grup ransomware, które zastosowały technikę szyfrowania przerywanego. Polega ona na szyfrowaniu jedynie części każdego pliku. Sposób działania: Metody zdobywania początkowego dostępu przez grupę Play różnią się w zależności od konkretnego przypadku. I ewoluują w miarę pojawiania się nowych luk w zabezpieczeniach. Trzy główne metody wykorzystywane przez Play obejmują: wykorzystanie aktywnych kont, luk w zabezpieczeniach aplikacji publicznych oraz atakowanie odsłoniętych serwerów RDP. Play dzieli podobne techniki, taktyki i procedury (TTP) z innymi grupami ransomware, takimi jak Hive i Nokoyawa. Wspólne cechy obejmują nazwy plików i katalogów, ścieżki narzędzi oraz ładunki używane w atakach. Wykorzystywane narzędzia: Cyberprzestępcy Play są znani z tego, że nie działają w konkretnej szerokości geograficznej i atakują różne branże. Wśród narzędzi wykorzystywanych przez grupę znajdują się Adfind, Bloodhound, Grixba, Netscan, Nltest, GMER, IOBit, Process Hacker, PowerTool, Cobalt Strike, SystemBC, PowerShell Empire, WinSCP oraz VSS Shadow Copy Tool. Wspierają one działania cyberprzestępców w zakresie eksploracji, eksfiltracji danych i zarządzania atakami. 8base Aktywna od co najmniej marca 2022 roku, grupa ransomware 8base działa w modelu RaaS. Zrobiło się o niej głośno w czerwcu 2023 roku, gdy zauważono znaczny wzrost liczby organizacji, z których dane zostały skradzione za ich sprawą. Sposób działania: Oprogramowanie ransomware 8base jest dystrybuowane głównie za pośrednictwem bota SmokeLoader. 8base to zmodyfikowany wariant Phobos, napisany w języku C++. Wykorzystuje on algorytm szyfrowania AES-256 w trybie Cipher Block Chaining (CBC), co zapewnia zaawansowany poziom ochrony przed odszyfrowaniem danych przez osoby trzecie. Grupa 8base prowadzi ataki w szerokim zakresie branż, bez wyraźnych preferencji co do sektora ofiar. Obserwacje wskazują, że 8base koncentruje się głównie na organizacjach ze Stanów Zjednoczonych i Brazylii. Wykorzystywane narzędzia: Wśród narzędzi używanych przez grupę znajdują się SmokeLoader, AnyDesk, PSExec, PuTTy, Advanced IP Scanner oraz Netscan. Te narzędzia wspierają operacje ransomware 8base, umożliwiając im efektywne przeprowadzanie ataków, zarządzanie złośliwym oprogramowaniem oraz rozprzestrzenianie się w sieci ofiar. Black Basta Grupa działająca w modelu RaaS, która stosuje ataki podwójnego wymuszenia, publikując eksfiltrowane dane na swojej stronie z wyciekami. Istnieje prawdopodobieństwo, że Black Basta jest gałęzią grupy ransomware Conti, na co wskazuje podobieństwo w metodach i narzędziach używanych przez obie grupy. Sposób działania: Ransomware Black Basta napisano w języku C++. Jest on przeznaczony dla systemów Windows i Linux. Grupa korzysta z commodity loaders, które dystrybuowane są za pośrednictwem przejętych wątków wiadomości e-mail i załączników z obsługą makr. Ponadto, Black Basta wykorzystuje aplikacje publiczne i wdraża niestandardowe mechanizmy wykrywania punktów końcowych oraz techniki unikania odpowiedzi. To zwiększa skuteczność ich ataków. Grupa kieruje swoje ataki na duże organizacje z różnych branż, w tym rolnictwa, produkcja, opieki zdrowotnej, transportu, doradztwa oraz nieruchomości. Jej zakres geograficzny jest dość szeroki. Obejmuje kraje takie jak: USA, Wielka Brytania, Kanada, Australia, Nowa Zelandia, Niemcy, Szwajcaria, Włochy, Francja i Niderlandy. Wykorzystywane narzędzia: W ramach swoich operacji Black Basta wykorzystuje różnorodne narzędzia, w tym Qakbot, Mimikatz, Brute Ratel, Cobalt Strike, PSExec, vssadmin.exe oraz Rclone. Wspierają one różne aspekty ataków, takie jak eksfiltracja danych, zarządzanie złośliwym oprogramowaniem oraz unikanie wykrycia groźnego oprogramowania. Analizując działalność powyższych 5 grup eksperci z Cisco Talos zwracają uwagę na różnorodność i złożoność technik przez nie stosowanych. Od ataków phishingowych po wykorzystanie zaawansowanych narzędzi do unikania wykrycia. Grupy te nieustannie rozwijają swoje metody, aby skuteczniej atakować organizacje na całym świecie. W obliczu tych zagrożeń, firmy powinny wdrożyć zaawansowane środki bezpieczeństwa i być przygotowane na szybkie reagowanie na incydenty.
