Quando si tratta delle prime 10 gang di ransomware, LockBit mantiene una robusta prima posizione, con un impressionante totale di 1.716 vittime pubbliche a loro carico, ed una media di oltre un'azienda hackerata al giorno. Questo, è successo sin dalla sua formazione iniziale, quando si chiamavano ABCD.
Con questa statistica è facile immaginare perché nessun altro gruppo si avvicina lontanamente a questi numeri. Alphv/BlackCat si piazza in una distante seconda posizione con 371 vittime pubbliche, seguita da Clop con 251.
Seguono nella nostra top 10 delle ransomgangs:
Medusa & Noescape (4 posizione pari merito), Cuba, Akira, Vice Society, BianLian, Everest e Play.
Abbiamo escluso la famosa gang Conti, in quanto questa lista comprende solo le gangs con siti DLS attivi.
Se siete curiosi di vedere un DLS (sito delle gang nel darkweb), date un occhiata al nostro video:
Gangs Emergenti
Tra i principali gruppi che stanno guadagnando popolarità troviamo Royal e Play Ransomware. Se le attuali tendenze continuano, Royal dovrebbe trovarsi tra le prime cinque entro l'estate 2024, mentre play si è già inserita al decimo posto.
Bisogna tenere d'occhio anche diversi nuovi gruppi che sono comparsi sulla scena nel 2023, tra cui:
-
- Trigona Ransomware
-
- Cipher Locker
-
- Cross Lock Ransomware
-
- Money Message
-
- Dunghill Leak.
Scopriamo alcune gangs e i loro ransomware
LockBit
LockBit 3.0, noto anche come 'LockBit Black', è più modulare e evasivo rispetto alle sue versioni precedenti, e condivide somiglianze con i ransomware Blackmatter e Blackcat. Il ransomware è configurato con molteplici opzioni durante la compilazione, che determinano il suo comportamento durante l'esecuzione.
LockBit 3.0 richiede anche una password durante l'esecuzione, che è una chiave crittografica che decodifica il ransomware. Ciò lo rende più difficile da rilevare e analizzare, poiché il codice è crittografato e illeggibile nella sua forma criptata. Inoltre, LockBit 3.0 non infetta le macchine che hanno impostazioni linguistiche corrispondenti a un elenco di esclusioni predefinito, che include lingue come il rumeno (Moldova), l'arabo (Siria) e il tatari (Russia). Tuttavia, il controllo della lingua in esecuzione è determinato da una flag di configurazione impostato durante la compilazione. Se LockBit 3.0 rileva una lingua nell'elenco delle esclusioni, interromperà l'esecuzione senza infettare il sistema.
Alphv/BlackCat
ALPHV è emerso nel novembre 2021 come ransomware-as-a-service, alcuni sostengono si tratti dell'evoluzione dei ransomware BLACKMATTER e DARKSIDE.
Mentre alcune gang ransomware hanno adottato regole per evitare di colpire infrastrutture critiche e entità sanitarie, ALPHV ha continuato a prendere di mira queste industrie sensibili. Il ransomware BlackCat/ALPHV ottiene accesso ai sistemi delle vittime sfruttando credenziali utente precedentemente compromesse.
Una volta stabilito l'accesso, il malware compromette account utente e amministratore in Active Directory. Per distribuire il ransomware, il malware crea GPO maligni (criteri di gruppo) utilizzando Windows Task Scheduler. Script PowerShell e Cobalt Strike (C2 server da $3500 annui) vengono utilizzati durante la distribuzione iniziale, il che disabilita le funzionalità di sicurezza nella rete della vittima. Inoltre, il ransomware BlackCat/ALPHV utilizza strumenti amministrativi di Windows e strumenti Microsoft Sysinternals nel processo di compromissione.
Clop
Clop è una variante del ransomware CryptoMix che crittografa i dati, rinominando ogni file aggiungendo l'estensione .clop ai file crittografati. Il suo nome deriva dalla parola russa 'klop', che significa cimice. I criminali informatici dietro il ransomware Clop sono noti per prendere di mira organizzazioni con budget sostanziali, richiedendo riscatti fino a $20 milioni. Clop è considerato un "big game hunter", a causa di questa strategia. Il ransomware Clop mira ad asset di valore come backup dei dati, registri finanziari, elenchi email, voucher e altre informazioni sensibili. Una volta che il ransomware ottiene accesso ai dati, i criminali informatici spesso ne diffondono porzioni, per dimostrare di averle, e minacciano di rilasciarne di più a meno che il riscatto non venga pagato. Il ransomware Clop ha diverse varianti conosciute, ognuna danneggia le organizzazioni in modi simili, ma con metodi di consegna tecnica più sofisticati. Un modo per riconoscere una nuova variante è attraverso i nomi delle estensioni dei file, che includono: "CIIp", ".Cllp", ".C_L_O_P", "ClopReadMe.txt", "README_README.txt", "Cl0pReadMe.txt" e "READ_ME_!!!.TXT".
Black Basta
Il ransomware Black Basta ha compiuto una serie di data breach tra aprile e settembre 2022 coinvolgendo oltre 90 organizzazioni. La rapidità e il volume degli attacchi dimostrano che gli attori dietro Black Basta sono ben organizzati e ben finanziati, eppure non ci sono indicazioni che Black Basta stia cercando di reclutare affiliati o pubblicizzarsi come un servizio Ransomware-as-a-Service (RaaS) sui soliti forum darknet o nei mercati del crimeware.
Si vocifera, che il ransomware Black Basta, sia collegato al gruppo a scopo di lucro FIN7, attivo dal 2012. FIN7, anche noto come Carbanak, era inizialmente conosciuto per l'uso di malware per condurre frodi finanziarie, ma dal 2020 ha switchato a operazioni di ransomware, affiliandosi a gruppi come REvil, Conti e conducendo le proprie operazioni con i nomi di Darkside e BlackMatter. è probabile che FIN7 o un affiliato, abbia iniziato a scrivere tools da zero per dissociare le loro nuove operazioni da quelle vecchie, e il tool di compromissione personalizzato, è uno di questi strumenti. Inoltre, gli sviluppatori dietro gli strumenti per compromettere le difese delle vittime probabilmente sono o sono stati sviluppatori per FIN7.
Vice Society
Recentemente, la gang di ransomware Vice Society è stata al centro dell'attenzione per i loro attacchi su vari obiettivi. Sono noti per concentrare i loro sforzi nei settori dell'istruzione e della sanità, ma è emerso che il gruppo sta anche prendendo di mira il settore manifatturiero. Penetrano diverse industrie, molto probabilmente attraverso l'acquisto di credenziali compromesse vendute nel Dark Web. Vice Society è stato rilevato in diversi paesi, tra cui Brasile, Argentina, Svizzera e Israele. Hanno principalmente colpito l'industria manifatturiera in Brasile. Il gruppo, è noto per sfruttare vulnerabilità come la vulnerabilità PrintNightmare e hanno precedentemente distribuito varianti di ransomware come Hello Kitty/Five Hands e Zeppelin.
Everest
Il gruppo di ransomware Everest è noto per la loro efficienza e rapidità nell'eseguire gli attacchi, il che ha permesso loro di mirare con successo a un'ampia gamma di organizzazioni in vari settori. In un rapporto di luglio 2022 nel quale si dettagliano le ricerche sul ransomware Everest, è emerso che Everest potrebbe avere legami con il ransomware Black-Byte. Il gruppo di ransomware si basa principalmente su email di phishing con allegati o collegamenti maligni per consegnare il loro payload ransomware. Una volta stabilita l'infezione iniziale, il gruppo utilizza tecniche avanzate per diffondersi lateralmente all'interno della rete della vittima, tra cui l'uso di credenziali rubate e vulnerabilità nel software e nei sistemi.
BianLian
La gang BianLian è attiva almeno dal 2019 ed è nota per l'uso di diverse tattiche, tra cui email di phishing, exploit kit e attacchi di forza bruta al protocollo desktop remoto (RDP), per ottenere accesso alle reti delle vittime. Il gruppo è anche stato collegato alla distribuzione di altri tipi di malware, inclusa la banking Trojan QakBot. Recentemente, la gang di ransomware BianLian ha riportato un cambio di focus verso l'estorsione pura dei dati. BianLian ha spostato il focus principale dei loro attacchi dal ricatto di file criptati, a concentrarsi maggiormente sull'estorsione di dati come mezzo per ottenere pagamenti dalle vittime. Inoltre, stanno cercando di amplificare l'efficacia di queste minacce di estorsione adattando i messaggi consegnati a specifiche vittime nel tentativo di aumentare la pressione avvertita dalle organizzazioni. Il cambio di tattiche è stato notato quando la gang ha iniziato ad utilizzare una nuova variante del ransomware, progettata per esfiltrare dati anziché crittografarli. Questa nuova variante, chiamata "BianLian Exfiltrate", viene distribuita tramite email di phishing ed exploit kit.
Ragnar Locker
Si ritiene che il ransomware Ragnar Locker sia emerso per la prima volta nel 2019 ed è stato responsabile di numerosi attacchi contro aziende in tutto il mondo.
Ragnar Locker utilizza un metodo sofisticato per eludere le misure di sicurezza e crittografare i dati di un'azienda. La gang è solita compromettere la rete delle aziende attraverso il servizio RDP, utilizzando la forza bruta per indovinare password deboli o con credenziali rubate acquistate nel Dark Web.
Successivamente, eseguono una ricognizione di secondo livello che mira a sfruttare la vulnerabilità CVE-2017-0213 per elevare i privilegi.
Per sfuggire alla rilevazione, implementano una macchina virtuale VirtualBox con un'immagine di Windows XP per crittografare tutti i file, facendo apparire la crittografia come un processo VirtualBox attendibile. L'operatore del ransomware cancella anche eventuali tracce ombra esistenti, disabilita le contromisure dell'antivirus e ruba file sensibili prima di lanciare il ransomware. Inoltre, prima di lanciare il ransomware la gang, ruba file sensibili e li carica su uno o più server per pubblicarli nel caso in cui la vittima si rifiutasse di pagare il riscatto. Il ransomware è particolarmente pericoloso perché è progettato per mirare a aziende con un grande numero di dipendenti, facilitandoli nel richiedere un riscatto più elevato. La gang utilizza anche tecniche di ingegneria sociale per ingannare i dipendenti e far scaricare ed eseguire il ransomware sui loro sistemi.
BlackByte
BlackByte è un ransomware come servizio (RaaS) emerso per la prima volta nel luglio 2021. La gang ha sfruttato le vulnerabilità di ProxyShell per ottenere un punto di ingresso nell'ambiente della vittima. Il ransomware BlackByte è progettato per crittografare i dati di un'azienda e richiedere un pagamento di riscatto per la chiave di decrittazione. Tuttavia, oltre alla crittografia, BlackByte ruba anche i dati della vittima e minaccia di pubblicarli online se il riscatto non viene pagato.
È stato recentemente scoperto che BlackByte utilizza uno strumento chiamato 'RogueRobin' per rubare i dati della vittima. Questo strumento è diverso da altri strumenti di furto dei dati utilizzati dai gruppi di ransomware, poiché non richiede privilegi amministrativi per funzionare. Ciò significa che anche se i sistemi di un'azienda sono correttamente protetti, lo strumento può comunque essere utilizzato per rubare dati sensibili. Si è scoperto che BlackByte viene distribuito tramite email di phishing e il ransomware è particolarmente pericoloso perché può diffondersi lateralmente attraverso la rete di un'azienda, infettando contemporaneamente più sistemi.
