10 лучших группировок программ-вымогателей, за которыми стоит следить

Man

Professional
Messages
2,965
Reaction score
488
Points
83
От LockBit 3.0 до DragonForce — это самые активные и сложные группы программ-вымогателей, на которые директорам по информационной безопасности следует обратить внимание.

За последние пару лет ландшафт программ-вымогателей претерпел значительную фрагментацию: крупные группировки закрывались после того, как становились объектом действий правоохранительных органов или привлекали слишком много внимания и требовали выкуп за личности своих лидеров.

Операции Ransomware-as-a-service (RaaS) в значительной степени зависят от сторонних хакеров, известных как аффилированные лица, которые взламывают сети жертв, крадут данные и внедряют свои программы шифрования файлов. Эти аффилированные лица зарабатывают большой процент от выкупов, выплачиваемых жертвами, поэтому существует постоянная конкуренция между различными операциями по использованию шифровальных средств, чтобы заманить аффилированных лиц более выгодными комиссионными предложениями или обещаниями лучшей операционной безопасности.

Также не редкость, когда крупные группы раскалываются на более мелкие из-за внутренних разборок между администраторами или когда группы закрываются и меняют название, когда они слишком накаляются. Это означает, что экосистема программ-вымогателей находится в состоянии постоянных изменений, когда появляются новые группы, поднимаются на вершину, а затем закрываются по разным причинам.

Ниже представлены 10 наиболее активных и сложных группировок программ-вымогателей, которые действовали в 2024 году и на которые организациям следует обратить внимание.

LockBit3.0​

LockBit впервые появился на сцене в 2019 году и недолгое время назывался ABCD исследователями безопасности, поскольку ранние варианты оставляли зашифрованные файлы с расширением .abcd, но начал по-настоящему набирать обороты во второй половине 2021 года с выпуском LockBit 2.0. За ним в 2022 году последовал LockBit 3.0, крупное обновление его партнерской программы и агрессивная тактика, которая быстро вывела его на вершину рейтингов, где он доминировал большую часть 2022 и 2023 годов. Рост LockBit также был обусловлен крахом других крупных групп, включая Ryuk, REvil, Maze и Conti, чьи филиалы ему удалось привлечь с помощью выгодных сделок.

В феврале 2024 года правоохранительным органам из 10 стран, включая Австралию, Великобританию и США, удалось прервать деятельность LockBit, захватив ее веб-сайты и серверы. Информация, полученная в ходе этой операции, получившей название Operation Cronos, привела к выявлению нескольких филиалов LockBit, а также пользователя по имени LockBitSupp, который, как полагают, является создателем и администратором печально известного сервиса вымогателей. Государственный департамент США объявил вознаграждение в размере 10 миллионов долларов за информацию, которая приведет к аресту LockBitSupp, которого они идентифицировали как Дмитрия Юрьевича Хорошева, 31-летнего гражданина России из города Воронежа.

Действия правоохранительных органов нанесли серьезный удар по операции LockBit не только из-за сбоев, вызванных изъятой инфраструктурой и ключами дешифрования, но и потому, что это подорвало доверие соучастников к ее операционной безопасности. После привлечения партнеров из других групп в течение последних нескольких лет, теперь настала очередь LockBit потерять их. К апрелю группа уже потеряла свою позицию № 1 в пользу операции по вымогательству под названием Play, а количество новых жертв, опубликованных ею на сайте утечки данных, значительно сократилось.

Тем не менее, согласно анализу сообщений об утечках данных группами вымогателей, проведенному исследователями из Palo Alto Networks , LockBit остается номером один за первые шесть месяцев 2024 года с более чем вдвое большим количеством жертв, чем Play. Согласно статистике программ-вымогателей от NCC Group, LockBit также по-прежнему очень активен, заняв второе место в июле после RansomHub, еще одной группы, куда мигрировали многие филиалы LockBit.

Несмотря на то, что количество ежемесячных атак LockBit значительно ниже, чем до прекращения деятельности правоохранительных органов, операция остается активной и по-прежнему имеет высокоопытных и способных участников.

Play ransomware​

Play, также известный как Playcrypt, — это вирус-вымогатель, который действует с 2022 года и, как и LockBit, извлек выгоду из краха более крупных группировок, таких как Conti и BlackCat (ALPHV), которые прекратили свою деятельность в марте.

Группа занимается двойным вымогательством, как и большинство современных операций с использованием программ-вымогателей, шифруя данные на системах и похищая их, чтобы затем вымогать деньги у компаний под угрозой их публикации. Программа-шифровальщик файлов Play выполняет прерывистое шифрование, то есть шифрует только определенные по размеру фрагменты данных в файлах, а не все их содержимое. Это значительно ускоряет операцию шифрования и затрудняет ее обнаружение, но приводит к тому же результату — файлы становятся непригодными для использования. Программа прикрепляет расширение .play к затронутым файлам. Стоит отметить, что у группы также есть программа шифрования файлов Linux, которая используется для шифрования виртуальных машин в средах VMWare ESXi их жертв.

Известно, что партнеры Play используют известные уязвимости в общедоступных системах, таких как серверы Microsoft Exchange или устройства Fortinet FortiOS, для взлома сетей, а также используют скомпрометированные учетные данные RDP. Оттуда они используют различные сторонние инструменты для разведки и бокового перемещения, а также для достижения устойчивости, включая Cobalt Strike, Mimikatz, Grixba, AlphaVSS, IOBit, AdFind, BloodHound, GMER, Plink, Process Hacker и другие.

Согласно анализу Palo Alto Networks, Play занял второе место по количеству жертв (155), опубликованному на его сайте утечки данных за первые шесть месяцев года, а в июле он занял 5-е место в статистике NCC с 20 атаками. Фирма по безопасности Zscaler также поставила его на 5-е место в своем ежегодном отчете о программах-вымогателях, который охватывает период с апреля 2023 года по апрель 2024 года, с общим числом жертв 345. Для сравнения, LockBit заявил о 988 жертвах за тот же период.

8Base​

Третье место в рейтинге программ-вымогателей за первую половину этого года заняла 8Base — группа, занимающаяся двойным вымогательством, которая также начала свою деятельность в 2022 году, но в 2023 году ее активность резко возросла.
8Base — немного странная группа, поскольку она показала сходство с другими бандами по вымогательству данных, такими как RansomHouse, что вызвало предположения, что они могут быть связаны. У группы также нет собственной специализированной программы-вымогателя, а вместо этого она использует кастомизированный вариант Phobos, еще одного шифровальщика файлов RaaS.

8Base в основном использует фишинговые мошенничества с вредоносными ссылками для первоначального доступа и, как и большинство группировок программ-вымогателей, полагается на различные системные утилиты, сторонние хакерские инструменты и вредоносные программы: Mimikatz, LaZagne, PasswordFox, KILLAV, SmokeLoader, SystemBC, PCHunter, GMER, Process Hacker и другие. Пользовательский шифровальщик файлов Phobos, используемый группой, добавляет расширение .8base к зашифрованным файлам.

8Base удалось скомпрометировать организации из многих отраслей, включая производство, финансы, юридические услуги, строительство, здравоохранение, но большое количество ее жертв — это малые предприятия с численностью сотрудников менее 200 человек.

Akira​

Akira — это группа, которая впервые появилась в апреле 2023 года и считалась ответвлением несуществующей группы Conti, поскольку ее шифровальщик файлов имел много общего с программой-вымогателем Conti. Однако код шифровальщика файлов Conti был раскрыт, так что это не обязательно сильная связь, но анализ блокчейна также выявил потенциальные связи с операцией Conti.

Новую группу Akira не следует путать со старой группой вымогателей с таким же названием, которая была активна в 2017 году и, вероятно, не связана, хотя обе группы использовали расширение файла .akira для зашифрованных файлов. Во второй половине 2023 года Akira перешла от своего шифровальщика файлов C++ к основанному на Rust, который она назвала Megazord и который использует шифрование файлов .powerranges. Группа также использует шифровальщик файлов Linux для хостов ESXi.
Akira получает первоначальный доступ, используя украденные учетные данные VPN и RDP, эксплуатируя уязвимости в устройствах безопасности Cisco и посредством фишинга. Попав в сеть, ее филиалы будут использовать различные методы и инструменты для извлечения учетных данных, бокового перемещения и сохранения. Некоторые из них включают: Kerberoasting, Mimikatz, LaZagne, SoftPerfect, Advanced IP Scanner, FileZilla, WinRAR, WinSCP, RClone, AnyDesk, MobaXterm, RustDesk, Ngrok и Cloudflare Tunnel.
Согласно анализу сайтов утечки данных, проведенному Palo Alto Networks, Akira сообщила о 119 жертвах на своем сайте утечки данных за первую половину этого года, а телеметрия атак NCC ставит его на третье место в июле после RansomHub и LockBit.

Black Basta​

Еще одно предполагаемое ответвление Conti, Black Basta, — это группа программ-вымогателей, которая впервые появилась в апреле 2022 года и, как полагают, на сегодняшний день атаковала более 500 организаций; в этом году на ее сайте указано 114 жертв.

Это еще более впечатляет, учитывая, что в отличие от других групп, Black Basta очень избирательна в отношении своих целей и не применяет тактику «распыляй и молись». Группа использует целевой фишинг, покупает доступ к сетям у других брокеров доступа и даже вербует инсайдеров компании для получения информации.

Одним из методов, используемых группой, было заполнение целей спам-письмами, а затем звонки им от имени инженеров ИТ-поддержки с целью убедить их установить инструменты удаленного доступа, такие как AnyDesk или Windows Quick Assist. Группа использует QakBot и Pikabot для первоначального доступа, но оба этих ботнета стали целью операций правоохранительных органов. Другие методы включали эксплуатацию уязвимостей, таких как CVE-2024-26169 в Microsoft Windows Reporting Service, CVE-2024-1709 в ConnectWise, ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 и CVE-2021-42287) и PrintNightmare (CVE-2021-34527).

Предполагается, что среди операторов и филиалов Black Basta имеются бывшие члены Conti и REvil, а также киберпреступники с большим опытом и сложными навыками.

BlackByte​

Подобно Black Basta, BlackByte — еще одно сложное ответвление Conti. Хотя эта группа не выделяется большим количеством публично известных жертв, недавнее исследование Cisco Talos показывает, что группа гораздо более активна, чем считалось ранее, и что только от 20% до 30% ее успешных взломов перечислены на ее сайте утечки данных.

RansomHub​

RansomHub — это новая операция RaaS, которая появилась в феврале 2024 года, но быстро поднялась по карьерной лестнице. NCC называет ее ведущей группой программ-вымогателей по количеству атак, наблюдавшихся в июле. Согласно рекомендациям CISA и ФБР от 29 августа, на данный момент жертвами группы стали более 210 человек.

Используя модифицированную версию старого вируса-вымогателя Knight (Cyclops), RansomHub удалось быстро привлечь новых партнеров к своей программе, предложив весьма привлекательную комиссию в размере 90% от уплаченных выкупов и возможность для партнеров вести прямые переговоры с жертвами.

Группа использует оппортунистические атаки и для первоначального доступа использовала вредоносное ПО SocGolish. Эта вредоносная программа доставляется посредством отравления поисковой оптимизации (SEO). Однако известно, что некоторые из ее филиалов имеют большой опыт. Например, бывший филиал BlackCat, который был ответственен за взлом дочерней компании UnitedHealth Group Change Healthcare, перешел на RansomHub после того, как операторы BlackCat скрылись с выкупом в размере 22 миллионов долларов и прекратили работу.

Известно также, что аффилированные лица RansomHub используют известные уязвимости для первоначального доступа, такие как удаленное выполнение кода Citrix ADC (NetScaler) (CVE-2023-3519), переполнение буфера Fortinet FortiOS (CVE-2023-279970, удаленное выполнение кода Apache ActiveMQ (CVE-2023-46604), обход аутентификации Confluence Data Center и сервера (CVE-2023-22515) и другие. Инструменты, используемые группой, включают Mimikatz, Remote Desktop Protocol (RDP), PsExec, Anydesk, Connectwise, N-Able, Cobalt Strike, Metasploit, Nmap, RClone, AngryIPScanner, WinSCP и PowerShell.

Hunters International​

Hunters International — это группа программ-вымогателей, впервые появившаяся в октябре 2023 года. Исследователи быстро обнаружили множество сходств кода в ее шифровальщике файлов с кодом, который ранее использовался Hive — одной из крупнейших групп программ-вымогателей, действовавшей в период с 2021 по январь 2023 года, когда ФБР прекратило ее деятельность после семимесячной тайной операции.

В Hunters International утверждают, что сходство кода объясняется тем, что они приобрели старый исходный код и инфраструктуру Hive и улучшили их, однако некоторые исследователи безопасности по-прежнему рассматривают группу как потенциальный ребрендинг Hive.

Согласно отчету Zscaler, Hunters International зафиксировала 97 жертв до апреля, но с тех пор активность группы только возросла. Телеметрия NCC за июль ставит группу на четвертое место по числу наблюдаемых атак.

Шифровальщик файлов Hunters International написан на языке программирования Rust, но в ходе недавних атак группа также была замечена в использовании трояна удаленного доступа, получившего название SharpRhino.

Medusa​

Medusa — это RaaS-операция, которая стартовала в конце 2022 года и приобрела известность в 2023 году. Группа отличается от MedusaLocker, другой RaaS-операции, которая существует с 2021 года.

Филиалы Medusa используют известные уязвимости в общедоступных системах для первоначального доступа, но также получают доступ от брокеров доступа. Они используют тактику жизни на земле, полагаясь на системные утилиты для расширения своего доступа и горизонтального перемещения по сетям. Его шифровальщик файлов использует шифрование RSA и добавляет расширение .medusa к зашифрованным файлам.

По данным анализа сайтов утечек данных, проведенного Palo Alto Networks, за первую половину 2024 года Medusa скомпрометировала 103 организации.

DragonForce​

DragonForce — еще один новичок в сфере программ-вымогателей, который сделал себе имя в 2024 году и быстро поднимается по карьерной лестнице. Группа известна необычными тактиками вымогательства, такими как звонки жертвам и последующая публикация записей в сети.

Группа использует программу-вымогатель, основанную на LockBit, поскольку сборщик для LockBit 3.0 был слит на подпольных форумах. Однако исследователи не считают, что между этими двумя группами есть какая-либо связь, кроме оппортунистической эксплуатации слитого сборщика — программы, используемой для настройки и генерации кастомизированного исполняемого файла LockBit.

Злоумышленники DragonForce используют фишинг, а также скомпрометированные учетные данные RDP и VPN для первоначального доступа к сетям.

Источник
 
Top