Rapidní nárůst ransomwarových útoků od začátku roku naznačuje, že se útočníkům daří stále častěji oběti donutit k zaplacení výkupného. Na trhu “kyber zločinců” se pohybuje mnoho menších nezávislých skupin, některým se ale daří více, než ostatním.

Novým hráčům hraje do karet i fakt, že hlavní aktéři jako gangy stojící za REvil a Darkside se stahují do ústraní, nebo začínají působit pod jinou značkou. Příčiny jsou zřejmé, úspěšné skupiny se dostávají do hledáčku bezpečnostních orgánů, firem a médií, což jim značně ztěžuje působení.

Analytici Doel Santos a Ruchna Nigam z Unit 42 predikují, že čtyři gangy představují významnou hrozbu budoucnosti.

AvosLocker

AvosLocker byl poprvé zaznamenán v červenci 2021. Funguje v rámci modelu “ransomware jako služba” (RaaS) a je řízen společností Avos, která nabízí své služby na fóru Dark Web Dread. Žádost o  výkupné obsahuje informace o zašifrovaných datech a ID obětí. Útočníci je pak nasměrují na web AvosLocker Tor, kde najdou instrukce k obnovení dat. Podle průzkumu požadují výkupné mezi 50 000 a 75 000 USD v kryptoměně Monero. Zatím se podařilo identifikovat sedm zasažených subjektů po celém světě.

Hive Ransomware

Gang Hive jsme na CyberBlogu zmiňovali již dříve (článek naleznete zde), kdy na něj upozornila FBI. Gang začal působit v červnu 2021 a zaměřuje se především na zdravotnické organizace. Skupina zveřejnila svou první oběť na své stránce Hive Leaks, kde později  zveřejnili podrobnosti o dalších 28 obětech. “Když je ransomware spuštěn, vypustí dva skripty,” napsali výzkumníci. “První skript – hive.bat – zahájí sebedestruktivní sekvenci, druhý skript má na starosti odstranění stínových kopií systému (shadow.bat). Hive přidává k zašifrovaným souborům příponu .hive a nechá oběti zprávu o výkupném s názvem HOW_TO_DECRYPT.txt obsahující pokyny a návod, jak obnovit data.”

Oběti jsou pomocí linku přesměrovány na chat s útočníky, kde “vyjednávají” o způsobu dešifrování a výši výkupného. Výzkumníci nejsou schopni specifikovat přesný způsob infekce ransomwarem, ale předpokládají že k ní dochází použitím klasických nástrojů, jako je spear-phishing.

HelloKitty: Linux Edition

Gang HelloKitty se objevil v roce 2020 a zpočátku se zaměřil na systémy Windows. Název si získal díky použití HelloKittyMutex (programovací algoritmus vzájemného vyloučení). V roce 2021 společnost Palo Alto detekovala soubor pro Linux (ELF) s názvem funny_linux.elf.  Soubor obsahoval žádost o výkupné, který se značně podobal starším požadavkům od HelloKitty, použitých na systémech Windows. V březnu se gang více zaměřil na ESXi, což je oblíbený cíl nedávných variant ransomwaru pro Linux. Ransomware šifruje soubory pomocí algoritmu ECDSA (Elliptic Curve Digital Signature Algorithm).

“Preferovaný způsob komunikace, který útočníci nechávají v žádostech o výkupné je směsicí adres Tor URL a e-mailových adres Protonmail, specifických pro danou oběť,” napsali výzkumníci. “To by mohlo naznačovat, že různé skupiny aktérů využívající stejný source kód malwaru.” Požadavky na výkupné se pohybují výši až 10 milionů USD v Moneru. Hackeři jsou ale “naštěstí” ochotni přijmout i platby v Bitcoinech.

LockBit 2.0

Gang dříve působící pod jménem ABCD je další skupinou, která operuje v modelu RaaS. První záznamy o aktivitě skupiny evidujeme z roku 2019. Gang LockBit 2.0 tvrdí, že jejich současná varianta je nejrychlejším šifrovacím softwarem na trhu. Od června skupina kompromitovala 52 globálních organizací.

“Všechny příspěvky skupiny zveřejněných na jejich stránkách obsahují odpočet do doby, než budou důvěrné informace oběti zveřejněny. Jedná se o velmi efektivní formu nátlaku,” píší výzkumníci. Po spuštění začne LockBit 2.0 šifrovat soubory a připojí příponu .lockbit. Po dokončení šifrování zašle žádost o výkupné s názvem Restore-My-Files.txt, ve kterém je kompromitace oznámena a uvádí kroky k dešifrování.

Kompletní report od Unit 42 naleznete zde.