Самые опасные хакерские группировки в 2022 году

За последний год группировки то распадались, то вновь образовывались, но одно можно сказать наверняка — они продолжают существовать.

Несмотря на все усилия, проблема программ-вымогателей продолжает расти: в недавнем отчете ИБ-компании Zscaler зафиксирован рост числа атак программ-вымогателей на 80% по сравнению с прошлым годом. Основные тенденции включали двойное вымогательство, атаки на цепочку поставок, вымогательство как услугу (Ransomware-as-a-Service, RaaS), ребрендинг групп и геополитически мотивированные атаки.

Например, в этом году известная группа вымогателей Conti распалась , но ее участники только продвинулись вперед, формируя новые банды.

Каких групп следует остерегаться в 2023 году? Мы рассмотрим некоторых из наиболее значимых игроков.

LockBit

LockBit существует с 2019 года и работает по RaaS-модели. По данным GuidePoint Security, самая многочисленная группа, на которую приходится более 4 из 10 жертв программ-вымогателей. Считается, что хакеры LockBit связаны с Россией .

Версия вымогательского ПО LockBit 3.0 была выпущена в июне и уже распространилась на 41 страну, согласно Intel 471. Основные цели - профессиональные услуги, консалтинг и производство , потребительские и промышленные товары , а также недвижимость.

Кроме того, LockBit запустила свою собственную программу Bug Bounty , предлагая до $1 млн. за обнаружение уязвимостей в своих вредоносных программах, сайтах утечки, Tor-сети или службе обмена сообщениями.

Black Basta

Группировка Black Basta впервые появилась весной этого года и за первые 2 недели атаковала не менее 20 компаний. Предполагается, что группа состоит из бывших участников Conti и REvil .

В настоящее время Black Basta проводит кампанию с использованием вредоносного ПО QakBot , банковского трояна, используемого для кражи финансовых данных жертв, включая информацию о браузере, нажатия клавиш и учетные данные.

Считается, что Black Basta за последний квартал поразила около 50 организаций в США, в том числе Американскую Ассоциацию Стоматологов (ADA) и канадскую компанию по розничной торговле продуктами питания Sobeys. Более половины целей группы были из США.

Hive

Hive, третья по активности группа вымогателей в этом году, фокусируется на промышленном секторе, а также на организациях здравоохранения, энергетики и сельского хозяйства. По данным ФБР, хакеры атаковали 1300 компаний по всему миру, особенно в секторе здравоохранения, и получили около $100 млн. в виде выкупа.

В последние недели группа взяла на себя ответственность за атаку на индийскую энергетическую компанию Tata Power , выложив данные фирмы в сеть, а также нескольких колледжей в США.

Hive, как полагают эксперты, сотрудничает с другими группами вымогателей и имеет собственную службу поддержки клиентов и отделы продаж. Группировка также занимается тройным вымогательством.

ALPHV/BlackCat

ALPHV/BlackCat – одно из самых сложных и гибких семейств программ-вымогателей, основанное на языке программирования Rust, которое существует уже около года. Считается, что группа состоит из бывших членов банды REvil и связана с BlackMatter (DarkSide).

Группа также работает по RaaS-модели, эксплуатируя известные уязвимости или незащищенные учетные данные, а затем проводя DDoS-атаки, чтобы заставить жертву заплатить выкуп. Хакеры BlackCat раскрывают украденные данные через собственную поисковую систему.

Целями группы являются организации критической инфраструктуры, в том числе аэропорты, операторы топливных трубопроводов и нефтеперерабатывающие заводы, а также Министерство обороны США.

Требования выкупа исчисляются миллионами, и даже когда жертва платит, группа не всегда предоставляет обещанные инструменты дешифрования .

BianLian

Относительно новый игрок, который нацелен на организации в Австралии, Северной Америке и Великобритании. Группа быстро запускает в сеть новые серверы управления и контроля (C&C), что указывает на то, что хакеры планируют значительно увеличить активность.

Как и многие другие программы-вымогатели, BianLian основан на языке Go, что обеспечивает ему высокую гибкость и кроссплатформенность . Согласно изданию Redacted, группа состоит из относительно неопытных киберпреступников, поскольку они плохо знакомы с практическими бизнес-аспектами программ-вымогателей и связанной с ними логистикой. Широкий круг жертв группы указывает на то, что она мотивирована деньгами, а не какими-либо политическими идеями.

Другие новые группы

Мир программ-вымогателей постоянно меняется, и несколько групп переименовались: DarkSide теперь называется BlackMatter, DoppelPaymer стал Grief, а Rook переименовался в Pandora. Кроме того, за последний год появились новые группы – Mindware, Cheers, RansomHouse и DarkAngels. О них мы, вероятно, услышим в следующем году.