10 กลุ่มแรนซัมแวร์ที่อันตรายที่สุดในขณะนี้
- Lockbit3 ระหว่างเดือนมกราคมถึงมิถุนายนปี 2023 Lockbit3 ได้รับการพิสูจน์แล้วว่าเป็นแก๊งแรนซัมแวร์ที่มีการใช้งานมากที่สุดการกระทำของ Lockbit3 ส่งผลให้มีเหยื่อ 24 เปอร์เซ็นต์ที่ถูกรายงาน องค์กรต่างๆ กว่า 500 แห่ง ตกเป็นเป้าหมายของกลุ่มนี้เพื่อพยายามขัดขวางและขู่กรรโชกพวกเขาต่อสาธารณะ นี่คือเหยื่อเพิ่มขึ้น 20% ในช่วงครึ่งแรกของปี 2022 โดยส่วนใหญ่กำหนดเป้าหมายไปที่องค์กรขนาดใหญ่และหน่วยงานภาครัฐ และใช้กลยุทธ์แรนซัมแวร์ในรูปแบบบริการ LockBit กำหนดเป้าหมายองค์กรต่างๆ ทั่วโลก ยกเว้นองค์กรในรัสเซียและเครือรัฐเอกราชอื่นๆ รายการการบรรเทาปัญหาที่แนะนำนั้นมีการใช้ตัวกรองอีเมล เบราว์เซอร์แบบแซนด์บ็อกซ์ และข้อกำหนดสำหรับบัญชีเพื่อให้เป็นไปตามการจัดการรหัสผ่านและมาตรฐานนโยบายของ NIST ถือเป็นจุดเริ่มต้นที่เป็นไปได้สำหรับบริษัทของคุณ
- Clop Ransomware เป็นหัวหอกในการโจมตีมากกว่า 100 ครั้งในช่วงห้าเดือนแรกของปีเพียงอย่างเดียว Clop เป็นหนึ่งในแก๊งแรนซัมแวร์ที่มีการใช้งานมากที่สุดที่มีคนพบเห็นในปีนี้ โดยกำหนดเป้าหมายธุรกิจในหลากหลายอุตสาหกรรม รวมถึงบริษัทน้ำมันข้ามชาติและสถาบันด้านการดูแลสุขภาพ แต่ดูเหมือนว่าจะมีความชื่นชอบเป็นพิเศษกับธุรกิจที่มีรายได้ต่อปีมากกว่า 5 ล้านเหรียญสหรัฐ โครงการจูงใจเพื่อความยุติธรรมของกระทรวงการต่างประเทศสหรัฐอเมริกาประกาศสิ่งจูงใจสูงถึง 10 ล้านดอลลาร์สําหรับข้อมูลที่สร้างความเชื่อมโยงระหว่าง Clop และรัฐบาลต่างประเทศหลังจาก Clop ถูกกล่าวหาว่าใช้ประโยชน์จากปัญหาซีโร่เดย์ในแอป MOVEit Transfer ในฤดูใบไม้ผลิปีที่แล้ว
- MalasLocker ในเมษายน 2023 ได้เห็นการปรากฏตัวครั้งแรกของกลุ่มนี้ โดยกำหนดเป้าหมายไปที่ผู้คนมากกว่า 170 คนในช่วงเวลาที่ค่อนข้างสั้นก่อให้เกิดความเสียหายอย่างมาก การโจมตีเป้าหมายที่เคยเป็นส่วนหนึ่งของสหภาพโซเวียตมักถูกหลีกเลี่ยง ดังนั้นจึงไม่ใช่เรื่องแปลกที่เหยื่อกว่า 30% ในกรณีนี้เป็นบริษัทของรัสเซีย กลุ่มนี้มีเป้าหมายหลักคือผู้ใช้ Zimbra ซึ่งเป็นแพลตฟอร์มออนไลน์สำหรับความร่วมมือที่ออกแบบโดยคำนึงถึงบุคลากรในองค์กรเป็นหลัก กลุ่มนี้ได้รับการยอมรับมากที่สุดในเรื่องการต่อต้านระบบทุนนิยมอย่างเห็นได้ชัด โดยเห็นได้จากคำขอที่เหยื่อให้ "บริจาคเพื่อการกุศล" ให้กับองค์กรที่ไม่แสวงหาผลกำไรที่พวกเขาเลือก ถึงแม้ว่ากลุ่มนี้จะกำหนดเป้าหมายไปที่ธุรกิจขนาดเล็กเป็นอันดับแรก แต่เมื่อผ่านไปหลายสัปดาห์และหลายเดือน กลุ่มนี้ก็อาจพยายามสร้างความเสียหายให้กับองค์กรขนาดใหญ่เช่นกัน
- BlackCat หรือ ALPHV แนวคิดที่ "บ้าคลั่ง" และสร้างสรรค์อันฉาวโฉ่ของแก๊งแรนซัมแวร์นี้เป็นที่รู้จักกันดี การใช้ภาษาโปรแกรมมิ่ง Rust เป็นตัวอย่าง เช่น ทำให้การถอดรหัสการโจมตีแรนซอมแวร์ยากขึ้นมากกว่าที่เคยเป็นมา ALPHV หรือที่เรียกว่า BlackCat ได้ทำการบุกรุกอย่างสำคัญในปีนี้หลายครั้ง สนามบิน โรงกลั่นน้ำมัน และผู้ผลิตโครงสร้างพื้นฐานอื่น ๆ ได้รับการชมเชยจากกลุ่มนี้เมื่อเข้าถึงข้อมูลได้ มีข้อสงสัยว่าผู้มีส่วนเกี่ยวข้องในการทำผิดอาจเริ่มแคมเปญการเปลี่ยนแบรนด์สำหรับกลุ่ม Darkside หรืออาจมีความสัมพันธ์ไม่ชัดเจนกับกลุ่มนั้น ๆ นอกจากนี้ยังสำคัญที่จะระบุว่านักเจรจาของ BlackCat อาจมีความสัมพันธ์กับคณะ REvil ก่อนหน้านี้
- Bianlian กลุ่มนี้เริ่มพัฒนา การใช้งาน และการขู่เข็ญข้อมูลโดยใช้รหัสแซงตั้งแต่เดือนมิถุนายน ค.ศ. 2022 และมีการเป้าหมายเป็นบริษัทในส่วนการพัฒนาพื้นฐานของสหรัฐอเมริกา บริษัทในอินฟราสตรัคเตอร์ของออสเตรเลีย บริษัทในบริการวิชาชีพ และธุรกิจพัฒนาอสังหาริมทรัพย์ก็ได้รับผลกระทบจากกลุ่มนี้ Bianlian ใช้เครื่องมือโอเพนซอร์ส สคริปต์คำสั่ง (สำหรับการเก็บข้อมูลข้อมูลประจำตัวและค้นพบ) และข้อมูลการเข้าใช้งานระยะไกลแบบถูกต้อง (RDP) เพื่อพยายามให้ได้รับการเข้าถึงระบบ หลังจากนั้น องค์กรจะใช้ Rclone, Mega, หรือ File Transfer Protocol (FTP) เพื่อส่งข้อมูลเหยื่อออกไป หลังจากทำการเสร็จสิ้นกลุ่มต้องการการชำระเงินและขู่เข็ญโพสต์ข้อมูลส่วนบุคคลออนไลน์หากไม่ได้รับ ทั้งนี้องค์กรควรจำกัดการใช้บริการ RDP และบริการเดสก์ท็อประยะไกลอื่น ๆ ปิดการใช้สคริปต์และกิจกรรมและสิทธิ์คำสั่งบรรทัด ลดการใช้ PowerShell อัปเกรด Windows หรือ PowerShell และลดการเผชิญต่อความเสี่ยงจาก Bianlian
- Royal มีการเป้าหมายที่สำคัญในหลายส่วนของโครงสร้างพื้นฐาน เช่น ในการผลิต การศึกษา การสื่อสาร และสาธารณสุข โดยปกติแล้วกลุ่ม Royal ransomware จะปิดการใช้งานซอฟต์แวร์ป้องกันไวรัสและขโมยข้อมูลจำนวนมาก โดยผู้โจมตีจะเข้ารหัสระบบและใช้แรนซัมแวร์ ซึ่งก่อนหน้านี้อาชญากรที่เกี่ยวข้องได้เรียกร้องค่าไถ่เป็นจำนวนเงินรวมระหว่าง 1 ล้านถึง 11 ล้านดอลลาร์สหรัฐ ทั้งนี้ผู้ปกป้องควรเก็บสำเนาข้อมูลที่เป็นความลับหรือเป็นกรรมสิทธิ์และเซิร์ฟเวอร์จำนวนมากไว้ในที่แยกทางกายภาพและปลอดภัยเพื่อป้องกัน Royal นอกจากนี้ กำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับบัญชีทั้งหมด แพตช์ระบบ (รวมถึงซอฟต์แวร์และเฟิร์มแวร์) เมื่อจำเป็น และแบ่งเครือข่ายออกเป็นส่วนๆ
- Play ในเดือนมิถุนายนปี 2022 กลุ่มแรนซัมแวร์นี้ปรากฏตัวครั้งแรก ได้ชื่อมาจากจดหมายเรียกค่าไถ่คำเดียวที่เป้าหมายเห็นคือ "PLAY" และนามสกุลไฟล์ ".play" ที่ต่อท้ายหลังจากไฟล์ได้รับการเข้ารหัสแล้ว ทีมนี้ใช้อุปกรณ์ที่ไม่เหมือนใคร วิธีการนี้ถูกคิดว่าจะลดเวลาการ หยุดนิ่ง ลดโอกาสให้บุคคลภายนอกสามารถย้อนกลับหรือปรับเปลี่ยนเครื่องมือได้ และอาจมีการควบคุมการดำเนินการที่เข้มงวดมากกว่าที่เป็นไปได้ในปัจจุบัน โดยกลุ่มแรกมุ่งความสนใจไปที่ละตินอเมริกา โดยเฉพาะบราซิล แม้ว่าความสนใจของกลุ่มจะเติบโตขึ้นก็ตาม องค์กรดังกล่าวได้ประกาศภาวะฉุกเฉินในเมืองโอกแลนด์ รัฐแคลิฟอร์เนีย เมื่อไม่กี่เดือนที่ผ่านมา
- Akira กลุ่มนี้ใช้ช่องโหว่ของซอฟต์แวร์ที่ทราบข้อบกพร่องในการตรวจสอบสิทธิ์แบบหลายปัจจัย และบริการหรือแอปพลิเคชันที่เปิดเผยต่อสาธารณะเป็นช่องทางในการแสวงหาผลประโยชน์ ได้กำหนดเป้าหมายไปที่องค์กรทางการเงิน สถาบันการศึกษา บริษัทผู้ผลิต บริษัทอสังหาริมทรัพย์ และบริษัททางการแพทย์โดยเฉพาะ อากิระได้เผยแพร่ข้อมูลเหยื่อบนเว็บไซต์รั่วไหลแล้ว ข้อมูลที่เผยแพร่มีขนาดแตกต่างกันตั้งแต่ 5.9 GB ถึง 259 GB ความต้องการชำระค่าไถ่มีความผันผวนระหว่าง 200,000 ดอลลาร์ถึงหลายล้านดอลลาร์
- NoEscape เมื่อต้นปีนี้แฮกเกอร์เหล่านี้กลายเป็นภัยคุกคามที่รุนแรงอย่างรวดเร็ว โดยอ้างว่าได้สร้างทั้งมัลแวร์และโครงสร้างพื้นฐานที่รองรับตั้งแต่ต้น และดูเหมือนว่าผู้ให้บริการ NoEscape จะหลีกเลี่ยงการโจมตีองค์กรเครือรัฐเอกราช (CIS) เมื่อพูดถึงเป้าหมาย จากการเขียนนี้ องค์กร NoEscape นําเสนอเครื่องมือในเครือสําหรับจัดการเพย์โหลดบน Linux และ Windows ตลอดจนการสร้างเพย์โหลดของตนเอง ใช้กลยุทธ์หลายชั้นเพื่อขัดขวางผู้โจมตีแรนซัมแวร์
- Other แก๊งแรนซัมแวร์ที่หลากหลายมีส่วนรับผิดชอบต่อการโจมตีของแรนซัมแวร์ประมาณ 34% ซึ่งรวมถึงองค์กรเพิ่มเติมจํานวนมาก ซึ่งบางแห่งเปลี่ยนชื่ออย่างต่อเนื่องเพื่อพยายาม "รีแบรนด์" เช่น BlackBasta, Hive และ Conti
แหล่งที่มา: CyberTalk.org