O ransomware é um vetor de ameaças significativo, custando bilhões de dólares a empresas, corporações e operadores de infraestrutura anualmente. Por trás dessas ameaças estão gangues profissionais de ransomware que criam e distribuem malware que torna os ataques possíveis.
Alguns desses grupos atacam as vítimas diretamente, enquanto outros executam o popular modelo Ransomware-as-a-Service (RaaS) que permite aos afiliados extorquir organizações específicas.
Com a ameaça de ransomware aumentando constantemente, conhecer o inimigo e como ele opera é a única maneira de se manter à frente. Então, aqui está uma lista dos cinco principais grupos de ransomware mais mortais que interrompem o cenário de segurança cibernética.
1. REvil
O grupo de ransomware REvil, também conhecido como Sodinokibi, é um ransomware como serviço (RaaS) operação que apareceu pela primeira vez em abril de 2019. É considerado um dos grupos de ransomware mais implacáveis com links para a Agência Federal de Serviços da Rússia (FSB).
O grupo rapidamente atraiu a atenção de profissionais de segurança cibernética por suas proezas técnicas e a audácia de perseguir alvos de alto perfil. 2021 foi o ano mais lucrativo para o grupo, pois teve como alvo várias empresas multinacionais e interrompeu vários setores.
Principais vítimas
Em março de 2021, REvil atacou a corporação de eletrônicos e hardware Acer e comprometeu seus servidores. Os invasores exigiram US$ 50 milhões por uma chave de descriptografia e ameaçaram aumentar o resgate para US$ 100 milhões se a empresa não atendesse às exigências do grupo.
Um mês depois, o grupo realizou outro ataque de alto nível contra o fornecedor da Apple, a Quanta Computers. Ele tentou chantagear a Quanta e a Apple, mas nenhuma das empresas pagou o resgate exigido de US$ 50 milhões.
O grupo de ransomware REvil continuou sua onda de hackers e alvejou JBS Foods, Invenergy, Kaseya e várias outras empresas. A JBS Foods foi forçada a encerrar temporariamente suas operações e pagou um resgate estimado em US$ 11 milhões em Bitcoin para retomar as operações.
o Ataque Kaseya trouxe alguma atenção indesejada para o grupo, pois afetou diretamente mais de 1.500 empresas em todo o mundo. Após alguma pressão diplomática, as autoridades russas prenderam vários membros do grupo em janeiro de 2022 e apreenderam bens no valor de milhões de dólares. Mas essa ruptura durou pouco, pois o A gangue do ransomware REvil voltou a funcionar desde abril de 2022.
2. Conti
Conti é outra gangue de ransomware infame que está nas manchetes desde o final de 2018. Ele usa o método de extorsão dupla, o que significa que o grupo retém a chave de descriptografia e ameaça vazar dados confidenciais se o resgate não for pago. Ele até administra um site de vazamento, o Conti News, para publicar os dados roubados.
O que diferencia o Conti de outros grupos de ransomware é a falta de limitações éticas em seus alvos. Realizou vários ataques nos setores de educação e saúde e exigiu milhões de dólares em resgate.
Principais vítimas
O grupo de ransomware Conti tem um longo histórico de segmentação de infraestruturas públicas críticas, como saúde, energia, TI e agricultura. Em dezembro de 2021, o grupo informou que comprometeu o banco central da Indonésia e roubou dados confidenciais no valor de 13,88 GB.
Em fevereiro de 2022, Conti atacou um operador de terminal internacional, SEA-invest. A empresa opera 24 portos marítimos na Europa e na África e é especializada no manuseio de granéis sólidos, frutas e alimentos, granéis líquidos (petróleo e gás) e contêineres. O ataque afetou todas as 24 portas e causou interrupções significativas.
Conti também comprometeu as Escolas Públicas do Condado de Broward em abril e exigiu US$ 40 milhões em resgate. O grupo vazou documentos roubados em seu blog depois que o distrito se recusou a pagar o resgate.
Mais recentemente, o presidente costarriquenho teve que declarar emergência nacional após ataques de Conti a várias agências governamentais.
3. Lado escuro
O grupo de ransomware DarkSide segue o modelo RaaS e visa grandes empresas para extorquir grandes quantias de dinheiro. Ele faz isso obtendo acesso à rede de uma empresa, geralmente por meio de phishing ou força bruta, e criptografa todos os arquivos na rede.
Existem várias teorias sobre as origens do grupo de ransomware DarkSide. Alguns analistas acham que é baseado na Europa Oriental, em algum lugar na Ucrânia ou na Rússia. Outros acreditam que o grupo tem franquias em vários países, incluindo Irã e Polônia.
Principais vítimas
O grupo DarkSide faz enormes exigências de resgate, mas afirma ter um código de conduta. O grupo afirma que nunca tem como alvo escolas, hospitais, instituições governamentais e qualquer infraestrutura que afete o público.
No entanto, em maio de 2021, a DarkSide realizou o Ataque Colonial Pipeline e exigiu US $ 5 milhões em resgate. Foi o maior ataque cibernético à infraestrutura de petróleo na história dos EUA e perturbou o fornecimento de gasolina e combustível de aviação em 17 estados.
O incidente desencadeou conversas sobre a segurança da infraestrutura crítica e como governos e empresas devem ser mais diligentes em protegê-las.
Após o ataque, o grupo DarkSide tentou limpar seu nome culpando afiliados de terceiros pelo ataque. No entanto, de acordo com O Washington Post, o grupo decidiu encerrar suas operações após aumentar a pressão dos Estados Unidos.
4. DoppelPaymer
O ransomware DoppelPaymer é um sucessor do ransomware BitPaymer que apareceu pela primeira vez em abril de 2019. Ele usa o método incomum de chamar as vítimas e exigir um resgate em bitcoins.
A DoppelPaymer afirma estar sediada na Coreia do Norte e segue o modelo de ransomware de dupla extorsão. A atividade do grupo diminuiu semanas após o ataque Colonial Pipeline, mas os analistas acreditam que ele se renomeou como o grupo Grief.
Principais vítimas
O DopplePaymer frequentemente tem como alvo empresas de petróleo, montadoras e setores críticos, como saúde, educação e serviços de emergência. É o primeiro ransomware que causou a morte de um paciente na Alemanha depois que o pessoal do serviço de emergência não conseguiu se comunicar com o hospital.
O grupo ganhou as manchetes quando publicou informações sobre eleitores do condado de Hall, na Geórgia. No ano passado, também comprometeu os sistemas voltados para o cliente da Kia Motors America e roubou dados confidenciais. O grupo exigiu 404 bitcoins como resgate, aproximadamente o equivalente a US$ 20 milhões na época.
5. LockBit
Ultimamente, LockBit tem sido uma das gangues de ransomware mais proeminentes, graças ao declínio de outros grupos. Desde sua primeira aparição em 2019, a LockBit teve um crescimento sem precedentes e evoluiu significativamente suas táticas.
A LockBit começou como uma gangue de baixo perfil inicialmente, mas ganhou popularidade com o lançamento do LockBit 2.0 no final de 2021. O grupo segue o modelo RaaS e emprega a tática de dupla extorsão para chantagear as vítimas.
Principais vítimas
Atualmente, o LockBit é um grupo de ransomware impactante, responsável por mais de 40% de todos os ataques de ransomware em maio de 2022. Ele ataca organizações nos EUA, China, Índia e Europa.
No início deste ano, a LockBit mirou o Thales Group, uma multinacional francesa de eletrônicos, e ameaçou vazar dados confidenciais se a empresa não atendesse às exigências de resgate do grupo.
Também comprometeu o Ministério da Justiça francês e criptografou seus arquivos. O grupo alega agora ter violado a agência fiscal italiana (L'Agenzia delle Entrate) e roubou 100 GB de dados.
Proteção contra ataques de ransomware
O ransomware continua a ser uma próspera indústria do mercado negro, gerando bilhões de dólares em receita para essas notórias gangues a cada ano. Dados os benefícios financeiros e a crescente disponibilidade do modelo RaaS, as ameaças só aumentam.
Como acontece com qualquer malware, estar atento e usar software de segurança apropriado são passos na direção certa para combater o ransomware. Se você ainda não está pronto para investir em uma ferramenta de segurança premium, pode usar as ferramentas internas de proteção contra ransomware do Windows para manter seu PC seguro.