Cele mai mari atacuri cibernetice ransomware din lume: De la întârzierea avioanelor, la salarii și răscumpărări colosale
Atacurile de tip ransomware sunt un coșmar digital. Cu toate acestea, este o realitate aspră cu care se confruntă organizațiile din întreaga lume.
În diferite domenii, de la sănătate până la învățământul superior, niciun sector nu este lăsat neatins de acest tip de criminalitate informatică.
Atacuri ransomware celebre
Aceste atacuri, desfășurate din diferite colțuri ale lumii, dezvăluie amploarea pierderilor financiare, strategiile ingenioase ale atacatorilor și necesitatea măsurilor proactive de securitate cibernetică.
ExPetr / NotPetya / 2017
Companie țintă: Diverse, dar afectate grav Maersk și Merck
Impact monetar: Estimat la 10 miliarde de dolari.
În iunie 2017, atacul de ransomware ExPetr, cunoscut și sub numele de NotPetya, a făcut ravagii pe glob, provocând perturbații și daune semnificative. Spre deosebire de ransomware-ul convențional, ExPetr nu a fost conceput pentru a extorca bani; în schimb, a fost proiectat pentru a provoca distrugeri maxime. A fost conceput pentru a ataca Ucraina, dar a fost prea eficient pentru a fi oprit.
NotPetya a fost descoperit curând ca fiind un ștergător - malware proiectat pentru a șterge datele - în deghizare. A vizat sistemele Windows, exploata o vulnerabilitate SMB numită EternalBlue, care a fost exploatată și de ransomware-ul celebru WannaCry cu o lună înainte.
Ștergătorul s-a răspândit rapid, criptând înregistrările de boot principale (MBR) pentru a face sistemele afectate imposibil de pornit.
Odată intrat într-o rețea, a folosit o varietate de metode, inclusiv instrumentul Mimikatz, pentru a colecta acreditări și a se răspândi lateral.
Maersk, o companie de transport global, și gigantul farmaceutic Merck au fost printre cele mai afectate, cu Maersk raportând pierderi de aproximativ 300 de milioane de dolari. Daunele financiare generale cauzate de NotPetya au fost estimate la aproximativ 10 miliarde de dolari, făcându-l cel mai scump atac cunoscut din istorie.
WannaCry
Atacatori: Se crede că este Grupul Lazarus
Companie țintă: Multiple (atac global); Utilizatori de Windows Microsoft
Impact monetar: Estimat la 4 miliarde de dolari.
În mai 2017, atacul de ransomware WannaCry s-a răspândit în peste 150 de țări, afectând în cele din urmă peste 200.000 de computere.
Estimările costurilor inițiale au ajuns la aproximativ 4 miliarde de dolari, dar unele grupuri au afirmat că pierderile viitoare potențiale doar în SUA ar putea depăși 7.000 de miliarde de dolari.
Atacul ransomware WannaCry a fost deosebit de eficient și dăunător datorită metodei sale de propagare și vulnerabilităților pe care le exploata. WannaCry a profitat de o vulnerabilitate critică în implementarea Microsoft a protocolului Server Message Block (SMB) numită EternalBlue.
Se crede că vulnerabilitatea a fost dezvoltată de Agenția Națională de Securitate (NSA) a SUA și ulterior a fost scursă de un grup numit Shadow Brokers.
Scopul lui WannaCry, ca toate ransomware-urile, era să cripteze fișierele de pe computerul victimei, făcându-le inaccesibile.
Odată ce fișierele au fost criptate, ransomware-ul ar fi afișat un ecran informând victima despre criptare și cerând o răscumpărare în Bitcoin în schimbul unei chei de decriptare. Cererea standard era de 300 de dolari, care ar fi fost dublată dacă plata nu era făcută în termen de trei zile.
Odată infectat un sistem, WannaCry acționa ca un vierme, mutându-se lateral prin rețele și răspândindu-se automat fără nicio interacțiune a utilizatorului.
Acest lucru i-a conferit capacitatea de a se propaga rapid la scară masivă, provocând daune extinse și perturbând infrastructurile critice precum serviciile de sănătate, finanțele, logisticile și rețelele de transport.
GandCrab
Companie țintă: Diverse, inclusiv întreprinderi și persoane fizice (PC-uri folosind MS Windows)
Impact monetar: Estimat să fi extorcat peste 2 miliarde de dolari de la victime.
GandCrab a apărut în 2018 și a devenit rapid unul dintre cele mai răspândite și profitabile atacuri de ransomware. Ceea ce l-a diferențiat pe GandCrab a fost modelul său RaaS, unde malware-ul era licențiat către afiliați care apoi efectuau atacuri și împărțeau un procent din profituri cu dezvoltatorii GandCrab.
Ransomware-ul a fost răspândit în principal prin e-mailuri și kituri de exploatare, în special kiturile GrandSoft și RIG. Odată ajuns pe sistemul unei victime, GandCrab cripta fișierele și cerea o răscumpărare în criptomoneda Dash pentru a le decripta.
Locky
Atacatori: Necunoscuți, posibil hackerii Dridex (cunoscuți și sub numele de Evil Corp sau TA505)
Companie țintă: Diverse (preponderent furnizori de sănătate din SUA, Canada, Franța, Japonia, Coreea și Thailanda)
Impact monetar: Estimat la 1 miliard de dolari.
Locky, activ preponderent între 2016 și 2018, a fost una dintre cele mai prolifice tulpini de ransomware, răspândindu-se prin campanii masive de phishing.
A fost livrat printr-un e-mail cu un atașament de document Word malign. Odată ce utilizatorul deschidea documentul și activa macro-urile, era descărcat și executat payload-ul ransomware-ului.
Locky cripta o gamă largă de tipuri de fișiere de date, amesteca numele fișierelor și cerea o plată în Bitcoin pentru decriptare. În mod remarcabil, putea cripta și fișiere pe partajările de rețea, amplificându-și potențialul de daune.
Locky folosea o combinație de criptare RSA și AES, făcând fișierele victimei inaccesibile până când era plătită o răscumpărare. De obicei, atacatorii cereau între 0,5 și 1 Bitcoin.
Ryuk
Atacatori: Neclar, posibil diverse grupuri folosind malware-ul Ryuk sau Wizard Spider (Rusia)
Companie țintă: Diverse, în mare parte instituții medicale și municipalități.
Impact monetar: Unele surse pretind că au făcut peste 150 de milioane de dolari; cererile individuale de răscumpărare raportate de la 15 la 500 de Bitcoin.
Aparând la mijlocul anului 2018, ransomware-ul Ryuk a devenit rapid o amenințare majoră pentru organizațiile mari. Spre deosebire de multe campanii de ransomware care utilizează distribuție automatizată de masă, Ryuk este livrat manual după o compromitere inițială a rețelei.
Atacatorii efectuează cartografierea extensivă a rețelei, extragerea datelor și culegerea de acreditări înainte de a lansa ransomware-ul Ryuk, provocând perturbări maxime.
Ryuk a fost responsabil pentru numeroase atacuri de înalt profil, cu cereri de răscumpărare între 15 și 500 Bitcoin (aproximativ 100.000 dolari până la 3,7 milioane dolari).
REvil/Sodinokibi
Atacatori: Grupul REvil
Companie țintă: Kaseya și clienții downstream; JBS
Impact monetar: Răscumpărare de 70 de milioane de dolari pentru un cod de decriptare universal.
Grupul REvil a apărut ca o amenințare majoră de ransomware în 2019, dar operațiunile lor cele mai disruptive au început în 2020.
Tacticile lor s-au dezvoltat de-a lungul timpului, dar principalele metode erau de a exploata vulnerabilități în software sau de a păcăli utilizatorii să descarce ransomware-ul prin e-mailuri de phishing sau prin exploatarea vulnerabilităților în protocolul Remote Desktop Protocol (RDP).
Odată intrat într-o rețea, REvil se deplasa lateral, escaladând privilegii, obținând control administrativ și apoi implementând ransomware-ul pentru a cripta fișierele de pe sistemul afectat.
REvil este cunoscut pentru utilizarea unei metode de dublă extorcare. Înainte de a lansa procesul de criptare, ei furau date sensibile din rețelele țintă.
După ce criptau fișierele victimei, cereau o răscumpărare în schimbul cheii de decriptare. Dacă victimele ezitau sau refuzau să plătească, REvil amenința să divulge datele furate pe "Happy Blog" pentru a crește presiunea asupra acestora.
Unul dintre cele mai notorii atacuri ale lor a fost atacul de aprovizionare a lanțului Kaseya VSA în 2021. REvil a exploatat o vulnerabilitate zero-day în software-ul Kaseya VSA, o unealtă pe care organizațiile IT o folosesc pentru a gestiona și monitoriza infrastructura IT.
Prin exploatarea acestei vulnerabilități, au putut distribui ransomware către mulți dintre clienții Kaseya, afectând până la 1.500 de afaceri la nivel mondial.
Un alt atac semnificativ a implicat JBS, cel mai mare procesator de carne din lume.
În acest caz, REvil a folosit o campanie reușită de phishing pentru a obține acces la sistemele JBS, ceea ce a determinat JBS să plătească 11 milioane de dolari pentru a preveni scurgerea datelor.
DoppelPaymer
Atacatori: Grupul DoppelPaymer
Companie țintă: Diverse, inclusiv orașul Torrance, CA,
Pemex (compania petrolieră mexicană) și Spitalul Universitar din Düsseldorf (rezultând în moartea unui pacient)
Impact monetar: Estimat la zeci de milioane; Europol raportează cel puțin 40 de milioane de euro.
DoppelPaymer a apărut în 2019 și, spre deosebire de multe campanii de ransomware care utilizează sisteme automate pentru distribuție de masă, este livrat manual după o compromitere inițială a rețelei.
Pentru a maximiza perturbarea, atacatorii efectuează cartografierea extensivă a rețelei, exfiltrarea datelor și escaladarea privilegiilor înainte de a iniția ransomware-ul DoppelPaymer.
Ransomware-ul folosește multithreading pentru criptare mai rapidă și poate funcționa și offline, criptând fișiere fără a fi nevoie să comunice cu serverele sale de comandă și control.
DoppelPaymer a fost responsabil pentru mai multe atacuri de înalt profil, cereri aleatorii de răscumpărare între 2 și 100 de Bitcoin și încălcări de date care au dus la vânzarea de informații sensibile pe dark web.
SamSam
Atacatori: SUA l-a acuzat pe Faramarz Shahi Savandi și Mohammad Mehdi Shah din Iran.
Companie țintă: Peste 200 de victime, inclusiv municipalități, spitale și instituții publice.
Impact monetar: Peste 6 milioane de dolari în plăți de răscumpărare și 30 de milioane de dolari în alte pierderi au fost estimate.
În perioada 2016-2018, ransomware-ul SamSam a vizat o varietate de sectoare, în special sănătatea, guvernul și educația.
Spre deosebire de alte atacuri de ransomware care sunt de obicei automate, atacatorii au implementat manual SamSam după ce au obținut acces la rețelele țintă prin servere JBoss sau prin exploatarea vulnerabilităților în VPN-uri sau conexiuni RDP.
Apoi, ei au escaladat privilegii și s-au deplasat lateral prin rețea înainte de a implementa ransomware-ul.
Orașul Atlanta și Hancock Health au fost printre victimele remarcabile, cu cereri de răscumpărare care depășeau adesea 50.000 de dolari. Atacul a provocat perturbări masive, cu orașul Atlanta cheltuind mai mult de 2,6 milioane de dolari pentru eforturile de recuperare.
NetWalker/UCSF
Atacatori: NetWalker (cunoscut și sub numele de "Malito," cunoscut și sub numele de Sebastien Vachon-Desjardins, cetățean canadian)
Companie țintă: Zeci de victime, în special Universitatea California, San Francisco (UCSF)
Impact monetar: Zeci de milioane; o răscumpărare de 1,14 milioane de dolari de la UCSF).
NetWalker, o companie RaaS, este cunoscută pentru că vizează cei care probabil ar plăti răscumpărări mari din cauza naturii critice a datelor lor.
Ransomware-ul este livrat în mod obișnuit prin e-mailuri de pescuit cu atașamente malițioase, exploatarea vulnerabilităților în aparatele VPN sau forțarea credențialelor Remote Desktop Protocol (RDP).
Odată intrat în rețea, NetWalker poate să se deplaseze lateral, să escaladeze privilegii și apoi să implementeze ransomware-ul.
În iunie 2020, UCSF a devenit victimă a unui atac de ransomware NetWalker care a perturbat semnificativ operațiunile lor.
Atacul UCSF, afectând în primul rând infrastructura IT a Școlii de Medicină, nu a compromis îngrijirea pacienților sau cercetarea COVID-19 în curs, dar ransomware-ul a criptat date academice critice și înregistrări importante.
Colonial Pipeline
Atacatori: Se crede că este grupul de hackeri cunoscut sub numele de DarkSide.
Companie țintă: Colonial Pipeline
Impact monetar: Răscumpărare de 4,4 milioane de dolari.
În mai 2021, un grup de hackeri numit DarkSide a lansat un atac de ransomware asupra rețelei IT a Colonial Pipeline. Grupul a exploatat un cont VPN expus cu o parolă reutilizată, furând 100 de gigabyte de date în două ore.
Pentru a izola sistemele de tehnologie operațională de rețeaua IT compromisă, Colonial Pipeline și-a închis temporar sistemele, ceea ce a condus la perturbări semnificative în aprovizionarea cu combustibil a estului SUA.
Pentru a minimiza impactul și a restabili rapid operațiunile, Colonial Pipeline a plătit aproximativ 4,4 milioane de dolari în criptomonede pentru a primi o cheie de decriptare.
Oameni afectați de astfel de atacuri cibernetice
Au fost 236,1 milioane de atacuri de ransomware la nivel mondial în prima jumătate a anului 2022.
În 2021, au avut loc 623,3 milioane de atacuri de ransomware la nivel global. Acest lucru nu înseamnă că fiecare atac a fost reușit, dar evidențiază prevalența acestei amenințări cibernetice.
71% dintre organizațiile din întreaga lume au raportat că au fost afectate de atacuri de ransomware în 2022.
Încălcările de date prin ransomware pot afecta pe oricine. În timp ce grupurile de ransomware vizează în mod tipic organizațiile ca ținte mai lucrative, aproximativ 3.700 de indivizi au raportat că au căzut victimă ale unor atacuri de ransomware reușite în 2021.
Cu toate acestea, acest număr este probabil mai mare, deoarece mulți victime nu vor raporta pierderile. Aceasta a însemnat că 49,2 milioane de dolari au fost furați de utilizatorii de internet pe tot parcursul anului 2021.
Au existat aproximativ 2,8 miliarde de atacuri malware doar în prima jumătate a anului 2022.
În prima jumătate a anului 2022, au fost 2,8 miliarde de atacuri malware. „Malware” include orice tip de software malefic, inclusiv ransomware, viruși, troieni și viermi.
Ce procent din toate atacurile cibernetice actuale sunt clasificate ca ransomware?
20% din toate atacurile cibernetice actuale sunt clasificate ca ransomware.
Ransomware-ul a reprezentat o cincime din toate atacurile cibernetice în 2022. Utilizarea credențialelor furate a reprezentat în plus 40% din atacurile în aceeași perioadă.
Atacuri ransomware în România
Mai multe spitale din România s-au confruntat în 2024 cu paralizia activității lor ca urmare a unui atac de tip ransomware asupra serverelor pe care erau stocate bazele de date.
Acest atac a dus la criptarea fișierelor pacienților de pe servere, iar în prezent datele nu pot fi recuperate. Această situație afectează activitatea spitalelor, deoarece funcționarea lor fără un sistem informatic este grav afectată.
Potrivit Directoratului Național pentru Securitate Cibernetică, atacul a fost realizat cu aplicația ransomware Backmydata, un virus din familia ransomware Phobos, care a criptat datele din serverele mai multor spitale din România care folosesc platforma informatică HIPOCRATE.
Sursa: StirilePROTV
Etichete: atac cibernetic, hackeri, ransomware,
Dată publicare:
05-03-2024 07:32