Более десятка группировок сдают в аренду свои вымогатели другим хакерам
17 ноября 2020 года
Киберпреступные группировки, действующие в рамках бизнес-модели «вымогательское ПО-как-услуга» (Ransomware-as-a -Service, RaaS) активно ищут партнеров, чтобы разделить прибыль, полученную от кибератак с использованием вымогательского ПО на общественные и частные организации.
В настоящее время существует более двух десятков активных RaaS-группировок, которые активно стремятся поручить вымогательские атаки сторонним организациям. По словам специалистов из компании Intel 471, существуют (Архивная копия от 16 ноября 2020 на Wayback Machine) также «известные частные банды, действующие в тесных, сплоченных криминальных кругах, и использующие прямые и частные каналы связи, о которых мало что известно».
Группировки вымогателей можно разделить на три разные категории в зависимости от их известности и времени, в течение которого они были активны. Они варьируются «от хорошо известных группировок, которые стали синонимами программ-вымогателей, до совершенно новых группировок, способных свергнуть преступных гигантов».
В первую категорию входят группы, которые за последние годы успешно заработали сотни миллионов долларов путем вымогательства. Подавляющее большинство из них также используют дополнительные схемы вымогательства, такие как кража конфиденциальной информации из сетей своих жертв и угроза утечки данных в случае отказа платить выкуп.
К данной категории относятся следующие RaaS-группировки: DopplePaymer (атаки на Pemex, Bretagne Télécom, Университет Ньюкасла, Университет Дюссельдорфа ), Egregor ( Crytek, Ubisoft, Barnes & Noble ), Netwalker/Mailto ( Equinix, UCSF, Государственный университет штата Мичиган, Toll Group) и REvil/Sodinokibi ( Travelex, аэропорт Нью-Йорка, местное правительство Техаса).
Ryuk находится на вершине рейтинга, и ее полезные нагрузки были обнаружены примерно в каждой третьей атаке программ-вымогателей за последний год. Группа также известна тем, что доставляет свои полезные нагрузки в рамках многоэтапных атак с использованием Trickbot, Emotet и BazarLoader для легкого проникновения в сети своих целей.
Во второй категории RaaS-группировки постепенно выросли до большего числа филиалов в течение 2020 года и были вовлечены в несколько подтвержденных атак. Сюда входят: SunCrypt, Conti, Clop, Ragnar Locker, Pysa/Mespinoza, Avaddon, DarkSide (считается ответвлением REvil) и пр. Как и представители первой категории, они также используют тактику кражи данных в качестве дополнительного метода вымогательства.
Вымогатели из третьей категории представляют собой недавно созданные филиалы, но, согласно Intel 471, «информация об успешных атаках и требованиях выкупа сильно ограничена». Сюда входят Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog и Exorcist.
Источники
править| Эта статья содержит материалы из статьи «Более десятка группировок сдают в аренду свои вымогатели другим хакерам», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
