Кои са новите групи за рансъмуер, какви са техните цели и какви са новите им методи за атаки?
Бандите за изнудване биват арестувани и разбивани, но заплахата от зловредния софтуер за блокиране на данни не изчезва. През 2024 г. в битката се включват няколко напълно нови банди за рансъмуер. Вземете например изгряващата и развиваща се група Termite, която пое отговорност за кибератаката Blue Yonder, или подпомаганата от изкуствен интелект група Funksec.
През последната година се наблюдава фрагментация в екосистемата на ransomware, казва Люк Донован, ръководител на отдела за разузнаване на заплахи в Searchlight Cyber. „Макар да сме свикнали с идеята, че повечето жертви на рансъмуер са дело на шепа мегагрупи, това вече не е реалност.“
Сега има все по-голям брой по-малки операции, за които организациите трябва да се притесняват, казва той. „Има десетки групи за рансъмуер, които публикуват жертви в тъмната мрежа – и всяка седмица се появяват нови“, казва Донован пред ITPro.
И така, кои са новите групи за рансъмуер, от които трябва да се притеснявате, какви са техните цели и към кого се насочват?
Funksec
На първо място е Funksec – нова група за двойно изнудване, която се появи в края на 2024 г. Check Point проследява групата, която публикува данните на над 85 жертви през декември – повече от всяка друга група.
Групата за изнудване е толкова нова, че не се знае много за нейните тактики, техники и процедури (TTP). Check Point отбеляза, че макар комуникациите на групата в тъмната мрежа да изглеждат на елементарен английски език, коментарите на кода ѝ са безупречни. Тя използва тези доказателства, за да предположи, че групата използва код, генериран от изкуствен интелект, включително изходния код на Rust. Както беше споменато, тя е публикувала в различни сектори, включително медии, ИТ и образование.
Групата обяви нов инструмент за криптиране „Funklocker“ на сайта си за изтичане на информация през декември, а след това в началото на януари 2025 г. потребителят „hinkim“ рекламираше във форумите своя модел на рансъмуер като услуга (RaaS), казва Спенс Хътчинсън, изследовател на заплахите в отдела за изследване на заплахите на eSentire.
„Здравейте! Развълнувани сме да обявим стартирането на нашия Ransomware-as-a-Service (RaaS) за групи, които се интересуват от използването на Funksec 1.0“, гласи публикацията. „Цената е 100 USD за неограничен достъп, като 30 % се отделят за осигуряване на декриптор. Разполагаме с усъвършенствани техники за борба с откриването, включително методите на Orion, за повишаване на сигурността“.
RansomHub
Друга нова група е RansomHub, която е толкова плодотворна, че е изпреварила небезизвестния LockBit. „Тази RaaS операция се появи едва през февруари 2024 г., но завърши годината като групата с най-много изброени жертви в сайта си за изтичане на информация в тъмната мрежа“, казва Донован.
Миналата година бандата е достигнала 500 жертви, като се е насочила към множество индустрии, което означава, че това е група, която всички компании трябва да следят, предупреждава той.
RansomHub е „най-забележителната група за рансъмуер в последно време“, съгласява се Сантяго Понтироли, старши изследовател на киберзаплахи в Acronis. „Други ключови играчи, като LockBit и ALPHV/BlackCat, претърпяха няколко неуспеха, което позволи на RansomHub да се превърне в най-значимия ransomware.“
От 13-те водещи групи за рансъмуер през 2024 г. само една се е появила през миналата година: Ransomhub, казва Дов Лернер, щатен изследовател по сигурността в Bitsight. „Това е логично; съществуващите групи са добре смазани операции на мениджъри, програмисти, оператори и филиали, докато новите групи трябва да изградят способности и мащаб. “
Howling Scorpius
Тя се появява през 2023 г., но за групата за рансъмуер Howling Scorpius си струва да се знае и през 2025 г. Рансъмуерът Akira, управляван от Howling Scorpius като RaaS, е „една от най-активните операции с рансъмуер“ в последно време, казва Анна Чънг, главен изследовател в Unit 42, Palo Alto Networks. „Всъщност през последните няколко месеца тя постоянно се нарежда сред петте най-активни групи за рансъмуер“.
Основните мишени са малки и средни предприятия в Северна Америка, Европа и Австралия, особено в отрасли като образование, консултантски услуги, правителство, производство, телекомуникации, технологии и фармацевтика.
Howling Scorpius използва двоен подход за изнудване. „Те първо ексфилтрират критични данни от мрежите на жертвите си и след това пристъпват към криптиране на системите“, казва Чънг. „Това им позволява да изпуснат откраднатите данни, ако жертвата възстанови системите си, без да плати откупа, като по този начин увеличават натиска за изпълнение на исканията им.“
BlackLock
BlackLock (известна още като El Dorado) е съвсем нова група, която вече си създава име на деструктивна групировка на път да се превърне в основно присъствие през 2025 г.
Досега тя се отличаваше от конкурентите си чрез необичайния си сайт за изтичане на информация, който съдържа функции, които пречат на жертвите да оценят правилно мащаба на атаките, както и чрез специално създадения си зловреден софтуер. Това пречи на изследователите в областта на сигурността да оценят лесно обхвата и мащаба на бъдещите атаки на BlackLock, дори когато групата изглежда набира персонал за по-мащабни кампании.
Lynx
През юли 2024 г. Palo Alto Networks идентифицира нов щам на рансъмуер, наречен Lynx, който изглежда е наследник на рансъмуера INC, казва Чънг.
Откакто се е появил, Lynx е показал, че се фокусира върху критични индустрии в САЩ и Обединеното кралство, включително търговия на дребно, недвижими имоти, архитектура и финансови и екологични услуги. В периода между юли и ноември 2024 г. групата се е насочила към множество обекти в САЩ, включително в енергийния, петролния и газовия сектор.
Методологията на атаките на Lynx е „особено тревожна“, казва Чънг. Тя работи като RaaS и използва тактика за двойно изнудване. „След като получи достъп до системата, рансъмуерът може да открадне чувствителна информация, преди да криптира данните на жертвата, като ефективно я блокира.“
За да затрудни възстановяването, той добавя разширението „.lynx“ към криптираните файлове и изтрива файловете с резервни копия. „Още по-поразително е, че те изпращат бележки за откуп директно на свързаните принтери, като по този начин гарантират, че жертвата веднага ще разбере за атаката“, обяснява Чънг.
Termite
Групата за рансъмуер Termite придоби известност след атаката си срещу Blue Yonder през декември.
Основно мотивирана от финансово изнудване, Termite се фокусира и върху кражбата на данни и препродажбата им, казва Лори Янсен-Анеси, директор външни кибернетични оценки в BlueVoyant. „Неотдавнашните му връзки с атаки от типа „нулев ден“ срещу продукти за прехвърляне на файлове на Cleo показват усъвършенствана стратегия, насочена към критичната инфраструктура и големите корпорации в технологичния, финансовия и здравния сектор.“
По-старите групи за рансъмуер
Докато тези нови групи набират скорост, някои от най-известните и плодовити групи за рансъмуер са силно намалели през последните 12 месеца, казва Донован. Той дава за пример BlackCat, която е „напълно изчезнала“, след като се е „пенсионирала“ през март 2024 г.
Въпреки това Play и BlackBasta – която атакува BT Group през 2024 г. – са активни от 2022 г. насам и запазват „постоянно висок брой жертви“, казва Донован.
Съществува и вероятност банди с по-малък резултат през 2024 г. да се появят отново през 2025 г., казва Донован. Той дава за пример LockBit. „В продължение на много години тя беше най-продуктивната група за ransomwarе, но беше сериозно повалена от правоприлагащата акция „Операция Кронос“. Въпреки това, тя все още беше втората най-активна през годината и не трябва да се подценява като заплаха“.
LockBit остава „огромна сила“, съгласява се Янсен-Анеси. „По същия начин Conti се разви, като промени марката си и адаптира тактиката си, съсредоточавайки се върху сектори като здравеопазването и логистиката. “
Междувременно Cl0p – известен с масовата си атака през 2023 г. срещу стотици организации, използващи софтуерната уязвимост MOVEIt – имаше „сравнително приглушена“ 2024 г., казва Донован. „Въпреки това групата продължава да е активна и има опит в преминаването през тихи периоди, преди да обяви голям брой жертви наведнъж. Възможно е тя да е подготвила нови изненади за 2025 г.“
Защитата на бизнеса ви от нови и стари групи за рансъмуер започва с правилното поставяне на основите. Нападателите често се насочват към уязвимости в софтуера.
Други ключови практики за сигурност, които всички организации трябва да въведат, включват многофакторна автентикация (MFA) и обучение на служителите, казва Донован. Въпреки това, когато се подготвят за конкретни заплахи, екипите по сигурността трябва да ги стеснят до най-вероятните групи, които биха могли да ги атакуват, казва той.
„Почти невъзможно“ е да се подготвите за десетки групи ransomware едновременно, казва Донован. „Но ако екипите по сигурността могат да се ограничат до четири или пет, които са насочени към тяхната индустрия, география или колеги, и наистина да разберат как те извършват своите атаки, те могат да изпреварят тези, които е най-вероятно да ги атакуват.“
