10 największych ataków ransomware, o których trzeba wiedzieć w 2022 r.

Opublikowany: 2019-05-12

Na początku każdego roku pojawiają się artykuły przewidujące trendy dotyczące oprogramowania ransomware, złośliwego oprogramowania i innych ataków. Każda z nich jest mieszanką poprawnych i błędnych przewidywań. W 2018 r. Ransomware było uważane za jedno z największych zagrożeń złośliwym oprogramowaniem, które pod koniec roku zaczęło wychodzić z łask, ponieważ cyberprzestępcy zaczęli skupiać się na wydobywaniu kryptowalut.

Nie oznacza to jednak, że zaprzestano opracowywania nowych wariantów oprogramowania ransomware. Wciąż się pojawiają i dzięki temu możemy powiedzieć, że zagrożenie ransomware nie zniknie w najbliższym czasie.

Największe ataki ransomware
img src: CSO

Ransomware „pod klucz” dla cyberprzestępców.

Ransomware SamSam było jednym z największych ataków ransomware w 2018 roku. Miasto Atlanta przeżyło to traumę, ponieważ zakłóciło operacje biznesowe i codzienne życie osób, pozostawiając niektórych danych całkowicie niemożliwych do odzyskania. To tylko jeden przykład, że w 2018 r. miały miejsce dziesiątki innych ataków ransomware, które dotknęły biznes, branżę opieki zdrowotnej i organizacje rządowe.

Wraz z początkiem 2022 r. krajobraz ransomware stał się zróżnicowany – do tej pory analitycy bezpieczeństwa prześledzili ponad 1100 różnych wariantów oprogramowania ransomware. Liczba ta stale rośnie, a ataki ransomware nadal stanowią wyzwanie dla różnych organizacji.

Dlatego przedstawiamy 10 największych ataków ransomware, o których powinieneś wiedzieć w 2022 roku.

1) Zły królik

Dwa ataki ransomware na dużą skalę, WannaCry i NotPetya , ustąpiły miejsca trzeciej odmianie oprogramowania ransomware. To nowe oprogramowanie ransomware nosi nazwę Bad Rabbit. Organizacje wschodnioeuropejskie z siedzibą w Rosji i Europie Wschodniej zostały zainfekowane oprogramowaniem ransomware Bad Rabbit. Co więcej, to ransomware rozprzestrzenia się poprzez drive-by download, nie wykorzystuje exploitów.

Ransomware Bad Rabbit podszywa się pod instalator Adobe Flash. Po pobraniu fałszywego instalatora z zainfekowanej strony blokuje komputer i żąda okupu. Strony korzystające z JavaScript są zainfekowane oprogramowaniem ransomware Bad Rabbit. Aby odzyskać system, ofiara musi zapłacić 280 dolarów w bitcoinach w ciągu 40 godzin.

2) Cerber

Cerber ransomware to oprogramowanie ransomware jako usługa (RaaS). Oznacza to, że każdy może kupić licencję Cerbera online i zwolnić ją w zamian za podzielenie z deweloperem 40% zysku uzyskanego z okupu. To ransomware używa klucza RSA-2048 do szyfrowania danych, co czyni go najbardziej przerażającym ransomware.

Po zainstalowaniu ransomware Cerber tworzy losowy plik wykonywalny w %LocalAppData% lub %AppData% lub folderze. Następnie skanuje wszystkie dyski w celu zaszyfrowania plików i dodaje rozszerzenie .cerber do każdego zaszyfrowanego pliku. Co więcej, ransomware Cerber atakuje użytkowników usługi Office 365 w chmurze, korzystając ze szczegółowej kampanii phishingowej. Do tej pory to oprogramowanie ransomware zainfekowało miliony użytkowników na całym świecie.

Twórcy Cerber, wysyłają zainfekowane dokumenty Microsoft Office jako załącznik. Po pobraniu i otwarciu ransomware Cerber zaczyna działać cicho w tle.

Aby odszyfrować dane, ofiara musi kupić specjalny rodzaj oprogramowania. To ransomware prosi ofiarę o zapłacenie okupu w Bitcoin w ciągu 7 dni. W przeciwnym razie kwota zostaje podwojona.

3) Dharma

Dharma, nowy wariant oprogramowania ransomware, to kryptowirus. Podobnie jak inne oprogramowanie ransomware, prosi ofiarę o zapłacenie okupu za klucz deszyfrujący. Atakujący, którzy wykorzystują usługi Remote Desktop Protocol za pośrednictwem portu TCP 3389, dostarczają ransomware Dharma ręcznie. Do szyfrowania plików ransomware Dharma używa algorytmu AES 256 od 2016 roku wydano 15 wariantów ransomware Dharma. Najnowsza wersja tego ransomware zawiera adres e-mail atakującego oraz rozszerzenia plików .gif. AUF, .USA, .xwx, .best i .heets. Rozprzestrzenianie się nowych wariantów Dharmy wyraźnie pokazuje szerszą dystrybucję oprogramowania ransomware do nowych grup hakerów.

Przeczytaj także: Dharma Ransomware: kolejny ransomware powraca z zapomnienia

4) GandKrab

Oprogramowanie ransomware GandCrab wykryte w 2018 r., takie jak ransomware Cerber, jest częścią Ransomware-as-a-Service (RaaS). Jest to pierwsze i jedno z niewielu ransomware, które żąda okupu w postaci kryptowaluty DASH. Zespół GandCrab polega na PowerShell, makrach Microsoft Office, VBScript, aby uniknąć wykrycia.

Wcześniejsze wersje tego oprogramowania ransomware wykorzystywały techniki szyfrowania RSA i AES, podczas gdy wersja 4.0 oprogramowania ransomware GandCrab używa Salsa20, ponieważ jest szybki. Ponadto GandCrab sprawdza język systemu, aby określić, czy ładunek można usunąć, czy nie. Maszyny z językiem rosyjskim lub innymi byłymi językami radzieckimi są pomijane.

To oprogramowanie ransomware stale ewoluuje i stanowi zagrożenie zarówno dla firm, jak i osób prywatnych. Zespół odpowiedzialny za to oprogramowanie ransomware stale je aktualizuje, aby uczynić go bardziej przebiegłym.

GandCrab Ransomware — największe ataki ransomware

Musisz przeczytać: Nowe oprogramowanie ransomware GandCrab v5.1 z dodatkowymi funkcjami

5) Układanka

Ransomware Jigsaw stworzone w 2016 roku początkowo nosiło nazwę „BitcoinBlackmailer”, ale ze względu na wizerunek Billy’ego the Puppet z horroru Saw utworzyło nazwę Jigsaw ransomware. To ransomware nie tylko szyfruje pliki użytkownika, ale także stopniowo je usuwa. Oznacza to, że ofiara musi zapłacić okup w ciągu 24 godzin. Ponieważ oprogramowanie ransomware zaczęło usuwać pliki co godzinę, większe opóźnienie oznacza mniejsze szanse na odzyskanie danych.

6) SimpleLocker

SimpleLocker jest również znany jako Andr/Slocker-A to oprogramowanie ransomware obsługujące Tor, które atakuje system operacyjny Android. Rozprzestrzenia się za pośrednictwem trojana downloadera podszywającego się pod oryginalną aplikację. Po zainstalowaniu SimpleLocker skanuje urządzenie w poszukiwaniu różnych typów plików i używa AES do szyfrowania plików. SimpleLocker zmienia rozszerzenie pliku na .enc i zbiera informacje, takie jak numer IMEI, model urządzenia itp., Wszystkie te szczegóły są następnie udostępniane serwerowi C2.

7) SzafkaGoga

LockerGoga, paskudny nowy rodzaj oprogramowania ransomware, którego celem są firmy przemysłowe i produkcyjne, powoduje znaczne szkody. Po zainfekowaniu Altran (francuskiej firmy konsultingowej z zakresu inżynierii), zaatakował Norsk Hydro i dwie inne duże amerykańskie firmy chemiczne.

Ransomware LockerGoga najnowsza odmiana złośliwego oprogramowania jest destrukcyjna, całkowicie wyłącza komputer, blokuje użytkowników, utrudniając ofierze zapłacenie okupu. To ransomware zostało nazwane LockerGoga przez grupę badawczą ds. bezpieczeństwa. Sposób, w jaki to ransomware uzyskuje dostęp do sieci ofiar, nadal pozostaje tajemnicą. Jednak niektórzy eksperci ds. bezpieczeństwa twierdzą, że atakujący już znają dane uwierzytelniające celu, co pomaga im w ataku.

8) PewCrypt

W przeciwieństwie do innych ransomware, ten nie jest stworzony do zarabiania pieniędzy. Wygląda na to, że twórcy PewCrypt mają na myśli inne cele. To najnowsze oprogramowanie ransomware zostało stworzone w jednym celu, tj. autor chciał, aby ofiary subskrybowały YouTuber PewDiePie i pomogły mu dotrzeć do 100 milionów subskrybentów. To ransomware jest zakodowane w Javie i szyfruje pliki w taki sposób, że można je później odszyfrować. Haczyk polega na tym, że dane zostaną odszyfrowane, gdy PewDiePie zdobędzie 100 milionów obserwujących.

PewCrypt jest dystrybuowany za pośrednictwem wiadomości e-mail ze spamem. Początkowo osoby uważały to za żart, ale zaraziło to niewielu użytkowników. Później twórca obawiał się, że zostanie przyłapany na udostępnieniu kodu źródłowego ransomware na GitHub za pomocą narzędzia deszyfrującego opartego na wierszu poleceń.

9) Ryuk

Ryuk, ukierunkowane i dobrze zaplanowane oprogramowanie ransomware, które zadebiutowało w sierpniu 2018 r., od tego czasu zarobiło 3,7 miliona dolarów w bitcoinach. To ransomware jest systematycznie dystrybuowane poprzez masowe kampanie spamowe i zestawy exploitów. Wykorzystuje technikę szyfrowania AES-256' i RSA4096 w celu ukierunkowania operacji na małą skalę.

Badacze bezpieczeństwa sądzili, że oprogramowanie ransomware Ryuk jest powiązane z Koreą Północną, ponieważ kod tego oprogramowania ransomware jest oparty na oprogramowaniu ransomware Hermes. Jednak późniejsi badacze ustalili, że Ryuk znajduje się w Rosji i jest zbudowany na skradzionym kodzie Hermesa.

10) SamSam

Ransomware SamSam jest najprawdopodobniej wykorzystywane w ukierunkowanych atakach ransomware. Jest często wdrażany przy użyciu ataków brute force lub szerokiego zakresu exploitów. To oprogramowanie ransomware zaatakowało wiele branż w Stanach Zjednoczonych i innych krajach.

Grupa stojąca za oprogramowaniem ransomware SamSam (Ransom.SamSam) nadal atakuje cele znajdujące się w Stanach Zjednoczonych. To oprogramowanie ransomware włamuje się do sieci i szyfruje wiele komputerów w organizacji. Modus operandi grupy SamSam polega na uzyskaniu dostępu do sieci organizacji i poświęceniu czasu na mapowanie sieci przed zaszyfrowaniem danych. To oprogramowanie ransomware nadal stanowi poważne zagrożenie dla organizacji w Stanach Zjednoczonych. Udany atak SamSam jest destrukcyjny, ponieważ zaszyfrowane przez niego dane mogą zostać po nim trwale utracone.

SamSam Ransomware — największe ataki ransomware

Ransomware można uniknąć!

Chociaż używanie deszyfratora zdarza się, że ofiara może odzyskać dane, ale nie ma co do tego pewności. Nowe warianty oprogramowania ransomware tworzone każdego dnia są destrukcyjne. Dlatego najlepszym sposobem radzenia sobie z atakiem ransomware jest wykonanie kopii zapasowej ważnych danych. W tym celu możemy skorzystać z narzędzia do tworzenia kopii zapasowych, które umożliwia przesyłanie danych do chmury. Jeśli jesteś zainteresowany i szukasz takiego narzędzia, spróbuj skorzystać z RightBackup.

To niesamowite narzędzie do tworzenia kopii zapasowych w chmurze jest uwielbiane przez miliony użytkowników, ponieważ oferuje różne funkcje. Po użyciu tego narzędzia nie musisz się już martwić o swoje dane. Jeśli padniesz ofiarą ataku ransomware, nadal będziesz mógł korzystać ze swoich danych, ponieważ będą one przechowywane w chmurze.

Mamy nadzieję, że będziesz pamiętać, że Twoje dane są ważne nie tylko dla Ciebie, ale także dla cyberprzestępców.

Zostaw nam komentarz, aby podzielić się swoimi przemyśleniami.