5 najbardziej aktywnych grup ransomware wg Cisco Talos: techniki, cele i narzędzia
5 min read
Według raportów Cisco Talos środowisko cyberzagrożeń jest coraz bardziej złożone i dynamiczne ze stale zwiększającą się liczbą grup ransomware, które rosną w siłę. Eksperci Cisco Talos przeanalizowali działalność 5 grup ransomware, które od 2023 roku były najbardziej aktywne i niebezpieczne dla organizacji z całego świata. Wśród nich znalazły się grupy LockBit, AlphV/BlackCat, Play, 8base oraz Black Basta, które zostały poddane analizie pod względem technik działania, narzędzi, które wykorzystują i wiktymologii.
LockBit
LockBit to jedna z najdłużej aktywnych grup ransomware, działająca bardzo dokładnie i systematycznie, wykorzystując automatyzację w celu przyspieszenia procesu infekcji i zwiększenia skuteczności. Narzędzie do szyfrowania danych, które wykorzystuje LockBit, jest proste w obsłudze, co pozwala nawet mniej doświadczonym cyberprzestępcom na efektywne przeprowadzanie ataków. Skuteczność grupy wynika również z szybkości przeprowadzanych ataków. LockBit osiągnął pozycję lidera na rynku ransomware, dzięki czemu stał się jednym z największych zagrożeń cybernetycznych na rynku.
Sposób działania: LockBit oraz ich brokerzy początkowego dostępu (IAB) uzyskują dostęp do sieci swoich ofiar poprzez phishing, wykorzystując skradzione dane uwierzytelniające oraz publiczne aplikacje i protokół zdalnego pulpitu (RDP). Po uzyskaniu dostępu, ransomware rozprzestrzenia się w sieci, używając wstępnie skonfigurowanych zakodowanych poświadczeń lub poprzez naruszenie kont z rozszerzonymi uprawnieniami. LockBit może być także dystrybuowany za pomocą obiektów zasad grupy (GPO) oraz PsExec przy użyciu protokołu SMB.
Cechą charakterystyczną działalności LockBit jest powszechne i oportunistyczne targetowanie (opportunistic targeting). Grupa ta atakowała wiele firm, różnej wielkości niezależnie od branży, co czyni jej działania trudne do przewidzenia, a zasięg ataków jeszcze większy.
Wykorzystywane narzędzia: LockBit wykorzystuje różnorodne narzędzia do przeprowadzania swoich operacji, w tym Cobalt Strike, AnyDesk, Mimikatz, Metasploit, Chocolatey, FileZilla, Stealbit infostealer, TDSSKiller EDR disabler oraz Thundershell. Te narzędzia pomagają w uzyskiwaniu dostępu, eskalacji uprawnień, wyłudzanie danych oraz wyłączaniu oprogramowania zabezpieczającego. Połączenie zarówno niezawodnych narzędzi, jak i sprawdzonych metod działania sprawia, że ich ataki są niezwykle skuteczne i trudne do wcześniejszego wykrycia.
AlphV/BlackCat
Grupa ALPHV, znana również pod nazwą BlackCat, to wysoce wykwalifikowana grupa ransomware oferująca usługi RaaS. Grupa choć powstała stosunkowo niedawno, bo w 2021 roku, zdążyła osiągnąć sukces jeszcze w tym samym roku, po pierwszej publicznej akcji w listopadzie. Grupa rekrutuje wyszkolonych cyberprzestępców na rosyjskojęzycznych forach, kusząc ich lukratywnym zarobkiem. Partnerzy ALPHV mogą zatrzymać do 90 procent okupu, w zależności od zebranej kwoty, co sprawia, że grupa jest wyjątkowo atrakcyjna dla potencjalnych współpracowników.
Sposób działania: ALPHV stosuje taktykę potrójnego wymuszenia, która obejmuje kradzież danych przed zaszyfrowaniem urządzeń, groźby opublikowania tych danych oraz ataki DDoS, jeśli okup nie zostanie zapłacony. Jest to pierwsza grupa, która skomercjalizowała oprogramowanie ransomware oparte na języku kodowania Rust, co pozwoliło jej na przeprowadzanie publicznych operacji cybernetycznych na dużą skalę.
ALPHV atakuje organizacje w Europie i Ameryce Południowej. Raporty sugerują, że wartości okupów sięga od 400 000 do 3 milionów dolarów, a w niektórych przypadkach nawet do 14 milionów dolarów.
Wykorzystywane narzędzia: ALPHV korzysta z różnorodnych narzędzi do przeprowadzania swoich operacji, w tym LaZagne stealer, WebBrowserPassView stealer, WinRM, Reverse SSH tunnels, Impacket, ScreenConnect, PowerShell oraz remote desktop protocol (RDP). Te narzędzia pomagają w kradzieży danych, uzyskiwaniu zdalnego dostępu do systemów ofiar i przeprowadzaniu ataków, czyniąc ALPHV jedną z najbardziej zaawansowanych i niebezpiecznych grup ransomware na świecie.
Play
Działalność grupy Play rozpoczęła się w czerwcu 2022 roku. Jej dotychczasowa aktywność sugeruje, że w kolejnych latach grupa ta nadal pozostanie w czołówce cyberprzestępców. Play jest znana z przeprowadzania ataków podwójnego wymuszenia, a także była jedną z pierwszych grup ransomware, które zastosowały technikę szyfrowania przerywanego, polegającą na szyfrowaniu jedynie części każdego pliku.
Sposób działania: Metody zdobywania początkowego dostępu przez grupę Play różnią się w zależności od konkretnego przypadku i ewoluują w miarę pojawiania się nowych luk w zabezpieczeniach. Jednakże, trzy główne metody wykorzystywane przez Play obejmują wykorzystanie aktywnych kont, atakowanie odsłoniętych serwerów RDP oraz wykorzystanie luk w zabezpieczeniach aplikacji publicznych. Te techniki pozwalają grupie na skuteczne uzyskanie dostępu do systemów ofiar i przeprowadzenie ataku.
Analiza ataków Play ujawnia, że grupa dzieli podobne techniki, taktyki i procedury (TTP) z innymi grupami ransomware, takimi jak Hive i Nokoyawa. Wspólne cechy obejmują nazwy plików i katalogów, ścieżki narzędzi oraz ładunki używane w atakach.
Wykorzystywane narzędzia: Cyberprzestępcy Play są znani z tego, że nie działają w konkretnej szerokości geograficznej i atakują szereg różnych branż. Wśród narzędzi wykorzystywanych przez grupę znajdują się Adfind, Bloodhound, Grixba, Netscan, Nltest, GMER, IOBit, Process Hacker, PowerTool, Cobalt Strike, SystemBC, PowerShell Empire, WinSCP oraz VSS Shadow Copy Tool, które wspierają ich działania w zakresie eksploracji, eksfiltracji danych i zarządzania atakami.
8base
Aktywna od co najmniej marca 2022 roku, grupa ransomware 8base działa w modelu RaaS, podobnie jak wiele czołowych grup. Mimo że 8base pozostawała w cieniu w początkach swojej działalności, to zrobiło się o niej głośno w czerwcu 2023 roku, gdy zauważono znaczny wzrost liczby organizacji, z których dane zostały skradzione za ich sprawą.
Sposób działania: Oprogramowanie ransomware 8base jest dystrybuowane głównie za pośrednictwem bota SmokeLoader. 8base to zmodyfikowany wariant Phobos, napisany w języku C++. Wykorzystuje on algorytm szyfrowania AES-256 w trybie Cipher Block Chaining (CBC), co zapewnia zaawansowany poziom ochrony przed odszyfrowaniem danych przez osoby trzecie.
Grupa 8base prowadzi ataki w szerokim zakresie branż, bez wyraźnych preferencji co do sektora ofiar. Obserwacje wskazują, że 8base koncentruje się głównie na organizacjach ze Stanów Zjednoczonych i Brazylii.
Wykorzystywane narzędzia: Wśród narzędzi używanych przez grupę znajdują się SmokeLoader, AnyDesk, PSExec, PuTTy, Advanced IP Scanner oraz Netscan. Te narzędzia wspierają operacje ransomware 8base, umożliwiając im efektywne przeprowadzanie ataków, zarządzanie złośliwym oprogramowaniem oraz rozprzestrzenianie się w sieci ofiar.
Black Basta
Grupa ransomware Black Basta, działająca w modelu ransomware-as-a-service (RaaS), stosuje ataki podwójnego wymuszenia, publikując eksfiltrowane dane na swojej stronie z wyciekami. Istnieje prawdopodobieństwo, że Black Basta jest gałęzią grupy ransomware Conti, na co wskazuje podobieństwo w metodach i narzędziach używanych przez obie grupy.
Sposób działania: Ransomware Black Basta został napisany w języku C++ i jest przeznaczony zarówno dla systemów Windows, jak i Linux. Grupa korzysta z commodity loaders, które są często dystrybuowane za pośrednictwem przejętych wątków wiadomości e-mail i załączników z obsługą makr. Ponadto, Black Basta wykorzystuje aplikacje publiczne i wdraża niestandardowe mechanizmy wykrywania punktów końcowych oraz techniki unikania odpowiedzi (response evasion mechanisms), co zwiększa skuteczność ich ataków.
Grupa kieruje swoje ataki na duże organizacje z różnych branż, w tym rolnictwa, produkcja, opieki zdrowotnej, transportu, doradztwa oraz nieruchomości. Jej zakres geograficzny jest dość szeroki i obejmuje kraje takie jak: USA, Wielka Brytania, Kanada, Australia, Nowa Zelandia, Niemcy, Szwajcaria, Włochy, Francja i Niderlandy.
Wykorzystywane narzędzia: W ramach swoich operacji Black Basta wykorzystuje różnorodne narzędzia, w tym Qakbot, Mimikatz, Brute Ratel, Cobalt Strike, PSExec, vssadmin.exe oraz Rclone. Narzędzia te wspierają różne aspekty ataków, takie jak eksfiltracja danych, zarządzanie złośliwym oprogramowaniem oraz unikanie wykrycia groźnego oprogramowania.
Analizując działalność grup ransomware takich jak LockBit, AlphV/BlackCat, Play, 8base oraz Black Basta, eksperci z Cisco Talos zwracają uwagę na różnorodność i złożoność technik stosowanych przez te grupy. Od ataków phishingowych po wykorzystanie zaawansowanych narzędzi do unikania wykrycia, te grupy nieustannie rozwijają swoje metody, aby skuteczniej atakować organizacje na całym świecie. W obliczu tak poważnych zagrożeń, przedsiębiorstwa muszą wdrożyć zaawansowane środki bezpieczeństwa i być przygotowane na szybkie reagowanie na incydenty, aby minimalizować ryzyko i skutki ataków ransomware.