Ransomware är en betydande hotvektor som kostar företag, företag och infrastrukturoperatörer miljarder dollar årligen. Bakom dessa hot ligger professionella ransomware-gäng som skapar och distribuerar skadlig programvara som gör attackerna möjliga.
Vissa av dessa grupper attackerar offer direkt, medan andra kör den populära Ransomware-as-a-Service-modellen (RaaS) som gör det möjligt för medlemsförbund att utpressa specifika organisationer.
Eftersom ransomware-hotet ständigt stiger, är det enda sättet att ligga steget före att känna till fienden och hur de fungerar. Så här är en lista över de fem mest dödliga ransomware-grupperna som stör cybersäkerhetslandskapet.
1. REvil
REvil ransomware-gruppen, a.k.a. Sodinokibi, är en Ryssland-baserad ransomware-as-a-service (RaaS) operation som först dök upp i april 2019. Det anses vara en av de mest hänsynslösa ransomware-grupperna med länkar till den ryska federala tjänstebyrån (FSB).
Gruppen väckte snabbt uppmärksamhet från cybersäkerhetsproffs för sin tekniska skicklighet och fräckheten att gå efter högprofilerade mål. 2021 var det mest lönsamma året för koncernen eftersom det riktade sig mot flera multinationella företag och störde flera industrier.
Stora offer
I mars 2021, REvil attackerade elektronik- och hårdvaruföretaget Acer och äventyrade sina servrar. Angriparna krävde 50 miljoner dollar för en dekrypteringsnyckel och hotade att höja lösensumman till 100 miljoner dollar om företaget inte uppfyllde gruppens krav.
En månad senare genomförde gruppen ytterligare en högprofilerad attack mot Apples leverantör, Quanta Computers. Man försökte utpressa både Quanta och Apple, men inget av företagen betalade den krävda lösensumman på 50 miljoner dollar.
REvil ransomware-gruppen fortsatte sin hackning och riktade in sig på JBS Foods, Invenergy, Kaseya och flera andra företag. JBS Foods tvingades tillfälligt lägga ner sin verksamhet och betalade uppskattningsvis 11 miljoner dollar i lösen i Bitcoin för att återuppta verksamheten.
De Kaseya attack väckte oönskad uppmärksamhet till gruppen eftersom den direkt påverkade mer än 1 500 företag över hela världen. Efter vissa diplomatiska påtryckningar arresterade de ryska myndigheterna flera gruppmedlemmar i januari 2022 och beslagtog tillgångar värda miljontals dollar. Men denna störning var kortlivad eftersom REvil ransomware-gänget har varit igång igen sedan april 2022.
2. Conti
Conti är ett annat ökänt ransomware-gäng som skapat rubriker sedan slutet av 2018. Den använder dubbel utpressningsmetod, vilket innebär att gruppen undanhåller dekrypteringsnyckeln och hotar att läcka känslig data om lösensumman inte betalas. Den driver till och med en läckande webbplats, Conti News, för att publicera de stulna uppgifterna.
Det som skiljer Conti från andra ransomware-grupper är bristen på etiska begränsningar för dess mål. Den genomförde flera attacker inom utbildnings- och hälsovårdssektorn och krävde miljontals dollar i lösen.
Stora offer
Conti ransomware-gruppen har en lång historia av att rikta in sig på kritisk offentlig infrastruktur som sjukvård, energi, IT och jordbruk. I december 2021 rapporterade gruppen att den äventyrade Indonesiens centralbank och stal känslig data på 13,88 GB.
I februari 2022 attackerade Conti en internationell terminaloperatör, SEA-invest. Företaget driver 24 hamnar i Europa och Afrika och är specialiserat på att hantera torr bulk, frukt och livsmedel, flytande bulk (olja och gas) och containrar. Attacken påverkade alla 24 hamnar och orsakade betydande störningar.
Conti hade också kompromissat med Broward County Public Schools i april och krävde 40 miljoner dollar i lösen. Gruppen läckte stulna dokument på sin blogg efter att distriktet vägrat att betala lösensumman.
På senare tid var Costa Ricas president tvungen att utlysa en nationell nödsituation efter attacker från Conti på flera statliga myndigheter.
3. Mörk sida
DarkSide ransomware-gruppen följer RaaS-modellen och riktar sig till stora företag för att pressa ut stora summor pengar. Den gör det genom att få tillgång till ett företags nätverk, vanligtvis genom nätfiske eller brute force, och krypterar alla filer på nätverket.
Det finns flera teorier om ursprunget till DarkSide ransomware-gruppen. Vissa analytiker tror att det är baserat i Östeuropa, någonstans i Ukraina eller Ryssland. Andra tror att gruppen har franchiseavtal i flera länder, inklusive Iran och Polen.
Stora offer
DarkSide-gruppen ställer enorma krav på lösen men säger sig ha en uppförandekod. Gruppen hävdar att den aldrig riktar sig mot skolor, sjukhus, statliga institutioner och någon infrastruktur som påverkar allmänheten.
Men i maj 2021 genomförde DarkSide Colonial Pipeline attack och krävde 5 miljoner dollar i lösen. Det var den största cyberattacken mot oljeinfrastruktur i USA: s historia och störde tillgången på bensin och flygbränsle i 17 delstater.
Händelsen utlöste samtal om säkerheten för kritisk infrastruktur och hur regeringar och företag måste vara mer noggranna med att skydda dem.
Efter attacken försökte DarkSide-gruppen rensa sitt namn genom att skylla på tredjepartsmedlemmar för attacken. Dock enligt Washington Post, beslutade gruppen att lägga ner sin verksamhet efter ökat tryck från USA.
4. DoppelPaymer
DoppelPaymer ransomware är en efterföljare till BitPaymer ransomware som först dök upp i april 2019. Den använder den ovanliga metoden att ringa offer och kräva en lösensumma i bitcoins.
DoppelPaymer säger sig vara baserad i Nordkorea och följer modellen med dubbel utpressning ransomware. Gruppens aktivitet minskade veckor efter Colonial Pipeline-attacken, men analytiker tror att den döpte om sig själv till Grief-gruppen.
Stora offer
DopplePaymer riktar sig ofta till oljebolag, biltillverkare och kritiska branscher som sjukvård, utbildning och räddningstjänst. Det är den första ransomware som orsakade en patients död i Tyskland efter att räddningstjänstpersonalen inte kunde kommunicera med sjukhuset.
Gruppen skapade rubriker när den publicerade väljarinformation från Hall County, Georgia. Förra året äventyrade den också Kia Motors Americas kundinriktade system och stal känslig data. Gruppen krävde 404 bitcoins i lösensumma, ungefär motsvarande 20 miljoner dollar då.
5. LockBit
LockBit har på sistone varit ett av de mest framstående ransomware-gängen, tack vare nedgången för andra grupper. Sedan sitt första framträdande 2019 har LockBit sett en oöverträffad tillväxt och utvecklat sin taktik avsevärt.
LockBit började som ett lågprofilerat gäng till en början men blev populärt i och med lanseringen av LockBit 2.0 i slutet av 2021. Gruppen följer RaaS-modellen och använder den dubbla utpressningstaktiken för att utpressa offer.
Stora offer
LockBit är för närvarande en effektiv ransomware-grupp som står för över 40 procent av alla ransomware-attacker i maj 2022. Den attackerar organisationer i USA, Kina, Indien och Europa.
Tidigare i år riktade LockBit sig mot Thales Group, ett franskt multinationellt elektronikföretag, och hotade att läcka känslig data om företaget inte uppfyllde gruppens krav på lösen.
Det äventyrade det franska justitieministeriet och krypterade deras filer. Gruppen säger sig nu ha brutit mot den italienska skattemyndigheten (L'Agenzia delle Entrate) och stulna 100 GB data.
Skydd mot Ransomware-attacker
Ransomware fortsätter att vara en blomstrande svartmarknadsindustri som genererar miljarder dollar i intäkter för dessa ökända gäng varje år. Med tanke på de ekonomiska fördelarna och den ökande tillgängligheten av RaaS-modellen kommer hoten bara att öka.
Som med all skadlig programvara är att vara vaksam och använda lämplig säkerhetsprogramvara steg i rätt riktning för att bekämpa ransomware. Om du inte är redo att investera i ett förstklassigt säkerhetsverktyg än kan du använda Windowss inbyggda ransomware-skyddsverktyg för att hålla din dator säker.