Działalność RA World – gangu, który przyznał się do ataku na ogólnopolską sieć laboratoriów diagnostycznych – jest obserwowana przez analityków od maja tego roku. Z analiz firmy WithSecure wynika, że liczba podobnych, nowych grup wykorzystujących oprogramowanie ransomware znacznie wzrosła w pierwszych trzech kwartałach 2023 roku. Odpowiadały one za 25% wszystkich wycieków danych w wielopunktowych atakach ransomware.
Nowe grupy i wzrost liczby ataków
Ransomware to rodzaj złośliwego oprogramowania (malware), które szyfruje i kradnie dane lub przejmuje kontrolę nad urządzeniami. Wielopunktowe ataki polegają na użyciu kilku metod nacisku na ofiary. Eksperci z firmy WithSecure porównali pierwsze trzy kwartały 2023 r. z tym samym okresem poprzedniego roku i odnotowali prawie 50-procentowy wzrost ilości danych, które wyciekają w konsekwencji wielopunktowych ataków ransomware. Co istotne, na 60 zidentyfikowanych grup ranomware aż 29 było nowych. Według analityka ds. zagrożeń w WithSecure Ziggy’ego Daviesa gangi te podążają śladami istniejących grup przestępczych, korzystają z ich danych i specyfiki przebiegu prowadzonych przez nie operacji ransomware.
„Starzy” cyberprzestępcy w nowych gangach
Grupy cyberprzestępców zajmujących się wielopunktowymi atakami ransomware nie są zbyt trwałe. Z badań WithSecure wynika, że tylko 6 z 60 badanych grup było aktywnych w każdym miesiącu 2023 roku. Nowi gracze, np. Royal czy Akira, często zaczynają działalność po przetasowaniach w strukturach starszych grup. Nierzadko pod nową nazwą kryje się cały lub w części ten sam zespół cyberprzestępców, który działał pod innym pseudonimem.
– Kod i inne elementy jednej konkretnej operacji cyberprzestępców są wykorzystywane ponownie, w innym miejscu. Dzieje się tak, ponieważ grupy i ich członkowie często pracują na tych zasobach, nawet gdy zmieniają osobę, dla której lub z którą pracują. Wiele nowych grup, które zidentyfikowaliśmy w tym roku, ma wyraźne korzenie w starszych incydentach ransomware. Na przykład Akira i kilka innych grup ma wiele wspólnych elementów z nieistniejącą już grupą Conti. Bardzo prawdopodobne jest, że te nowe grupy zostały stworzone właśnie po rozpadzie Conti i wycieku posiadanych przez nią danych czy kodów – wskazuje Ziggy Davies, analityk ds. zagrożeń w WithSecure.
Starsze grupy nie tracą formy
Chociaż wzrost działalności nowych grup wykorzystujących wielopunktowe ataki ransomware jest alarmujący, to jednak nie należy bagatelizować znaczenia starszych ugrupowań. Z analizy WithSecure wynika, że pięć z działających od dłuższego czasu grup cyberprzestępców (Lockbit, Clop, Alphv/BlackCat, BianLian i Play) odpowiadało za ponad połowę wszystkich wycieków danych w 2023 roku. Największy udział miała grupa Lockbit (21%), która była odpowiedzialna za ataki na firmy takie jak Boeing czy Royal Mail.
Powtarzalne schematy szansą na walkę z ransomware
Rosnąca liczba nowych grup i ataków w 2023 roku pokazuje, że cyberprzestępcy nadal wykorzystują ransomware jako skuteczny sposób wyłudzania pieniędzy od swoich ofiar. Jednak nowi gracze w swoich atakach często korzystają z gotowych zasobów – danych, kodów czy narzędzi, które pochodzą od starszych grup. Sukces poprzedników sprawia, że nie widzą potrzeby tworzenia nowych sposobów ataku. Korzystanie z tych samych schematów sprawia, że analiza działań przestępców może pomóc specjalistom ds. cyberbezpieczeństwa w opracowywaniu strategii walki oraz ochrony przed atakami.