Повече от 290 предприятия са засегнати от 6 групи за изкупване през 2021 г.

Всяка седмица има нова организация, изправена пред атака на рансъмуер, но нов доклад от екипа за изследване на сигурността на eSentire и изследователя на Dark Web Майк Мейс казва, че инцидентите, които виждаме в новините, са само малка част от истинския брой жертви.

The Отчет за eSentire Ransomware казва само през 2021 г. шест групи за рансъмуер компрометират 292 организации между 1 януари и 31 април.

Докладът изчислява, че групите са успели да донесат най-малко 45 милиона долара от тези атаки и подробно описват множество инциденти, които никога не са били докладвани.

Екипът на eSentire и Mayes се фокусираха изключително върху групите за рансъмуер Ryuk / Conti, Sodin / REvil, CLOP и DoppelPaymer, както и върху две новопоявили се, но забележителни банди в DarkSide и Avaddon.

Според доклада всяка банда се фокусира върху определени индустрии и региони по света. Бандата Ryuk / Conti атакува 352 организации от 2018 г. и 63 тази година, като се фокусира най-вече върху производствени, строителни и транспортни компании.

Десетки от техните жертви никога не са били разгласявани, но най-забележителните атакувани организации включват училищния район на окръг Брауърд и френската компания за чаши CEE Schisler, и двете не са платили непосилните откупни суми, се казва в доклада.

В допълнение към производството, групата направи вълни през 2020 г. за атака на ИТ системите на малки правителства в САЩ като окръг Джаксън, Джорджия, Ривиера Бийч, Флорида и окръг ЛаПорте, Индиана. И трите местни правителства са платили откупите, които варират от 130 000 до близо 600 000 долара. Групата също прекара голяма част от 2020 г. в атака и на местни болници.

Подобно на бандата Ryuk / Conti, хората зад рансъмуера Sodin / REvil по подобен начин се фокусират върху здравните организации, като в същото време отделят усилията си за атака срещу производителите на лаптопи. От техните 161 жертви 52 са били ударени през 2021 г. и са правили международни новини с нападения на Acer и Quanta, два от най-големите производители на технологии в света.

Quanta, която произвежда преносими компютри на Apple, е бил ударен с откуп за 50 милиона долара търсене. Компанията отказа и бандата Sodin / REvil изтече подробен дизайн на продукт на Apple в отговор. Бандата заплашва да изтече още документи, но е изтеглила снимките и всяка друга препратка към атаката до май, според доклада, в който се отбелязва, че Apple не е говорил за нахлуването оттогава.

DoppelPaymer / BitPaymer се прослави, като се насочи към държавни институции и училища. ФБР пусна известие през декември по-специално за рансъмуера, отбелязвайки, че той се използва за атака на критична инфраструктура като болници и спешни служби.

Докладът добавя, че повечето от 59-те жертви на групата тази година не са били публично идентифицирани освен в прокуратурата на Илинойс, която беше атакувана на 29 април.

Бандата Clop е насочила усилията си към злоупотреба с широко покритата уязвимост в системата за прехвърляне на файлове на Accellion. Екипът на eSentire и Mayes обясняват, че групата е използвала широко уязвимостта, като е ударила Калифорнийския университет, американската банка Flagstar, глобалната адвокатска кантора Jones Day, канадския производител на самолети Bombardier, Станфордския университет, холандския петролен гигант Royal Shell, Университета в Колорадо, Университет в Маями, компания за бензиностанции RaceTrac и много други.

В доклада се отбелязва, че бандата на Clop стана скандално известна с това, че твърди, че преглежда файловете на организацията и се свързва с клиенти или партньори с искане да притиска жертвата да плати откуп.

Бандата DarkSide беше в новините в последно време за нападението си срещу колониалния тръбопровод, който предизвика политическа буря в САЩ и пусна бензиностанции в определени градове по Източното крайбрежие.

Според доклада, групата е една от най-новите сред водещите групи за рансъмуер. Но те губят малко време, натрупвайки 59 жертви от ноември и 37 тази година.

В доклада се отбелязва, че групата DarkSide е една от малкото, която действа като операция за изкупване като услуга, разтоварвайки отговорността на изпълнители, които атакуват цели и разделят откупи. eSentire заяви, че техните изследвания показват, че хората зад DarkSide не са знаели за колониалната атака, преди да се случи, и са разбрали само от новините. Те направиха вълни миналата седмица, когато се твърди, че са затворили всички свои операции поради засиления контрол на правоприлагащите органи.

Рансъмуерът е замесен в множество атаки срещу производители на енергия като една от най-големите бразилски електрически компании, Companhia Paranaense de Energia, която те удариха през февруари.

Последната проучена група е бандата на Avaddon, която беше в новините тази седмица за нападението им срещу голяма европейска застрахователна компания AXA. Атаката беше забележителна, защото AXA предоставя на десетки компании киберзастраховане и се ангажира да спре да възстановява разходите на своите клиенти във Франция за платени откупи.

В допълнение към AXA, тази година групата атакува и 46 организации и работи като операция за изкупване като услуга като DarkSide. Докладът обяснява, че бандата е забележителна с включването на часовник за обратно отброяване на техния уеб сайт Dark и с добавената заплаха от DDoS атака, ако откупът не бъде платен.

Списъкът на жертвите им включва здравни организации като Capital Medical Center в Олимпия, Вашингтон и Bridgeway Senior Healthcare в Ню Джърси.

Екипът на eSentire и Mayes добавиха, че огромният брой неотчетени атаки показват, че тези банди “правят хаос срещу много повече субекти, отколкото обществеността осъзнава.”

“Друго отрезвяващо осъзнаване е, че нито една индустрия не е имунизирана от този бич на изкуплението”, се казва в доклада. “Тези изтощителни атаки се случват във всички региони и във всички сектори и е наложително всички компании и организации от частния сектор да прилагат защитни мерки за защита, за да смекчат щетите, произтичащи от атака на рансъмуер”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com