O ransomware é um vetor de ameaças significativo, custando bilhões de dólares a empresas, corporações e operadores de infraestrutura anualmente. Por trás dessas ameaças estão gangues profissionais de ransomware que criam e distribuem malware que torna os ataques possíveis.
Alguns desses grupos atacam as vítimas diretamente, enquanto outros executam o popular protótipo Ransomware-as-a-Service (RaaS) que permite aos afiliados extorquir organizações específicas.
Com a ameaço de ransomware aumentando sempre, saber o inimigo e uma vez que ele opera é a única maneira de se manter avante. Portanto, cá está uma lista dos cinco principais grupos de ransomware mais mortais que interrompem o cenário de segurança cibernética.
1. REvil
O grupo de ransomware REvil, também publicado uma vez que Sodinokibi, é uma operação de ransomware uma vez que serviço (RaaS) com sede na Rússia que apareceu pela primeira vez em abril de 2019. É considerado um dos grupos de ransomware mais implacáveis com links para a Sucursal Federalista Russa de Serviços (FSB) ).
O grupo rapidamente atraiu a atenção de profissionais de segurança cibernética por suas proezas técnicas e a audácia de perseguir alvos de cima perfil. 2021 foi o ano mais lucrativo para o grupo, pois teve uma vez que branco várias empresas multinacionais e interrompeu vários setores.
Principais vítimas
Em março de 2021, o REvil atacou a corporação de eletrônicos e hardware Acer e comprometeu seus servidores. Os invasores exigiram US$ 50 milhões por uma chave de descriptografia e ameaçaram aumentar o resgate para US$ 100 milhões se a empresa não atendesse às exigências do grupo.
Um mês depois, o grupo realizou outro ataque de cima nível contra o fornecedor da Apple, a Quanta Computers. Ele tentou chantagear a Quanta e a Apple, mas nenhuma das empresas pagou o resgate exigido de US$ 50 milhões.
O grupo de ransomware REvil continuou sua vaga de hackers e alvejou JBS Foods, Invenergy, Kaseya e várias outras empresas. A JBS Foods foi forçada a fechar temporariamente suas operações e pagou um resgate estimado em US$ 11 milhões em Bitcoin para retomar as operações.
O ataque da Kaseya trouxe alguma atenção indesejada para o grupo, pois afetou diretamente mais de 1.500 empresas em todo o mundo. Em seguida alguma pressão diplomática, as autoridades russas prenderam vários membros do grupo em janeiro de 2022 e apreenderam bens no valor de milhões de dólares. Mas essa interrupção durou pouco, pois a gangue do ransomware REvil voltou a funcionar desde abril de 2022.
2. Contínuo
Conti é outra gangue de ransomware infame que faz manchetes desde o final de 2018. Ele usa o método de roubo dupla, o que significa que o grupo retém a chave de descriptografia e ameaço vazar dados confidenciais se o resgate não for pago. Ele até administra um site de vazamento, o Conti News, para publicar os dados roubados.
O que diferencia o Conti de outros grupos de ransomware é a falta de limitações éticas em seus alvos. Realizou vários ataques nos setores de ensino e saúde e exigiu milhões de dólares em resgate.
Principais vítimas
O grupo de ransomware Conti tem um longo histórico de segmentação de infraestruturas públicas críticas, uma vez que saúde, pujança, TI e lavoura. Em dezembro de 2021, o grupo informou que comprometeu o banco mediano da Indonésia e roubou dados confidenciais no valor de 13,88 GB.
Em fevereiro de 2022, Conti atacou um operador de terminal internacional, SEA-invest. A empresa opera 24 portos marítimos na Europa e na África e é especializada no manuseio de granéis sólidos, frutas e mantimentos, granéis líquidos (petróleo e gás) e contêineres. O ataque afetou todas as 24 portas e causou interrupções significativas.
Conti também comprometeu as Escolas Públicas do Condado de Broward em abril e exigiu US$ 40 milhões em resgate. O grupo vazou documentos roubados em seu blog depois que o província se recusou a remunerar o resgate.
Mais recentemente, o presidente costarriquenho teve que declarar emergência vernáculo depois ataques de Conti a várias agências governamentais.
3. Lado Escuro
O grupo de ransomware DarkSide segue o protótipo RaaS e visa grandes empresas para extorquir grandes quantias de moeda. Ele faz isso obtendo chegada à rede de uma empresa, geralmente por meio de phishing ou força bruta, e criptografa todos os arquivos na rede.
Existem várias teorias sobre as origens do grupo de ransomware DarkSide. Alguns analistas acham que é fundamentado na Europa Oriental, em qualquer lugar na Ucrânia ou na Rússia. Outros acreditam que o grupo tem franquias em vários países, incluindo Irã e Polônia.
Principais vítimas
O grupo DarkSide faz enormes exigências de resgate, mas afirma ter um código de conduta. O grupo afirma que nunca tem uma vez que branco escolas, hospitais, instituições governamentais e qualquer infraestrutura que afete o público.
No entanto, em maio de 2021, a DarkSide realizou o ataque Colonial Pipeline e exigiu US$ 5 milhões em resgate. Foi o maior ataque cibernético à infraestrutura de petróleo na história dos EUA e perturbou o fornecimento de gasolina e combustível de aviação em 17 estados.
O incidente desencadeou conversas sobre a segurança da infraestrutura sátira e uma vez que governos e empresas devem ser mais diligentes em protegê-las.
Em seguida o ataque, o grupo DarkSide tentou limpar seu nome culpando afiliados de terceiros pelo ataque. No entanto, de combinação com o The Washington Post, o grupo decidiu fechar suas operações depois aumentar a pressão dos Estados Unidos.
4. DoppelPaymer
O ransomware DoppelPaymer é um sucessor do ransomware BitPaymer que apareceu pela primeira vez em abril de 2019. Ele usa o método incomum de invocar as vítimas e exigir um resgate em bitcoins.
A DoppelPaymer afirma estar sediada na Coreia do Setentrião e segue o protótipo de ransomware de dupla roubo. A atividade do grupo diminuiu semanas depois o ataque Colonial Pipeline, mas os analistas acreditam que ele se renomeou uma vez que o grupo Grief.
Principais vítimas
O DopplePaymer frequentemente tem uma vez que branco empresas de petróleo, montadoras e setores críticos, uma vez que saúde, ensino e serviços de emergência. É o primeiro ransomware que causou a morte de um paciente na Alemanha depois que o pessoal do serviço de emergência não conseguiu se remeter com o hospital.
O grupo ganhou as manchetes quando publicou informações sobre eleitores do condado de Hall, na Geórgia. No ano pretérito, também comprometeu os sistemas voltados para o cliente da Kia Motors America e roubou dados confidenciais. O grupo exigiu 404 bitcoins uma vez que resgate, aproximadamente o equivalente a US$ 20 milhões na idade.
5. LockBit
Ultimamente, LockBit tem sido uma das gangues de ransomware mais proeminentes, graças ao declínio de outros grupos. Desde sua primeira aparição em 2019, a LockBit teve um incremento sem precedentes e evoluiu significativamente suas táticas.
A LockBit começou uma vez que uma gangue de subalterno perfil inicialmente, mas ganhou popularidade com o lançamento do LockBit 2.0 no final de 2021. O grupo segue o protótipo RaaS e emprega a tática de roubo dupla para chantagear as vítimas.
Principais vítimas
Atualmente, o LockBit é um grupo de ransomware impactante, responsável por mais de 40% de todos os ataques de ransomware em maio de 2022. Ele ataca organizações nos EUA, China, Índia e Europa.
No início deste ano, a LockBit mirou o Thales Group, uma multinacional francesa de eletrônicos, e ameaçou vazar dados confidenciais se a empresa não atendesse às exigências de resgate do grupo.
Também comprometeu o Ministério da Justiça gálico e criptografou seus arquivos. O grupo agora afirma ter violado a sucursal fiscal italiana (L’Agenzia delle Entrate) e roubado 100 GB de dados.
Proteção contra ataques de ransomware
O ransomware continua a ser uma próspera indústria do mercado preto, gerando bilhões de dólares em receita para essas notórias gangues a cada ano. Dados os benefícios financeiros e a crescente disponibilidade do protótipo RaaS, as ameaças só aumentam.
Uma vez que acontece com qualquer malware, estar modesto e usar software de segurança tempestivo são passos na direção certa para combater o ransomware. Se você ainda não está pronto para investir em uma instrumento de segurança premium, pode usar as ferramentas internas de proteção contra ransomware do Windows para manter seu PC seguro.
