Cele mai mari atacuri cibernetice ransomware din lume: De la întârzierea avioanelor, la salarii și răscumpărări colosale

Stiri Diverse
05-03-2024 | 07:32
atac ransomware
Shutterstock

Atacurile de tip ransomware sunt un coșmar digital. Cu toate acestea, este o realitate aspră cu care se confruntă organizațiile din întreaga lume.  

autor
Raluca Mitroi

În diferite domenii, de la sănătate până la învățământul superior, niciun sector nu este lăsat neatins de acest tip de criminalitate informatică.

Atacuri ransomware celebre

Aceste atacuri, desfășurate din diferite colțuri ale lumii, dezvăluie amploarea pierderilor financiare, strategiile ingenioase ale atacatorilor și necesitatea măsurilor proactive de securitate cibernetică.

ExPetr / NotPetya / 2017

Companie țintă: Diverse, dar afectate grav Maersk și Merck

Citește și
De ce nu mai poate statul român să recupereze nimic de la Dan Voiculescu, Ovidiu Tender și Puiu Popoviciu. Sentințele care le-au salvat milionarilor peste 250 de milioane de euro

Impact monetar: Estimat la 10 miliarde de dolari.

În iunie 2017, atacul de ransomware ExPetr, cunoscut și sub numele de NotPetya, a făcut ravagii pe glob, provocând perturbații și daune semnificative. Spre deosebire de ransomware-ul convențional, ExPetr nu a fost conceput pentru a extorca bani; în schimb, a fost proiectat pentru a provoca distrugeri maxime. A fost conceput pentru a ataca Ucraina, dar a fost prea eficient pentru a fi oprit.

NotPetya a fost descoperit curând ca fiind un ștergător - malware proiectat pentru a șterge datele - în deghizare. A vizat sistemele Windows, exploata o vulnerabilitate SMB numită EternalBlue, care a fost exploatată și de ransomware-ul celebru WannaCry cu o lună înainte.

Ștergătorul s-a răspândit rapid, criptând înregistrările de boot principale (MBR) pentru a face sistemele afectate imposibil de pornit.

Odată intrat într-o rețea, a folosit o varietate de metode, inclusiv instrumentul Mimikatz, pentru a colecta acreditări și a se răspândi lateral.

Maersk, o companie de transport global, și gigantul farmaceutic Merck au fost printre cele mai afectate, cu Maersk raportând pierderi de aproximativ 300 de milioane de dolari. Daunele financiare generale cauzate de NotPetya au fost estimate la aproximativ 10 miliarde de dolari, făcându-l cel mai scump atac cunoscut din istorie.

WannaCry

Atacatori: Se crede că este Grupul Lazarus

Companie țintă: Multiple (atac global); Utilizatori de Windows Microsoft

Impact monetar: Estimat la 4 miliarde de dolari.

În mai 2017, atacul de ransomware WannaCry s-a răspândit în peste 150 de țări, afectând în cele din urmă peste 200.000 de computere.

Estimările costurilor inițiale au ajuns la aproximativ 4 miliarde de dolari, dar unele grupuri au afirmat că pierderile viitoare potențiale doar în SUA ar putea depăși 7.000 de miliarde de dolari.

Atacul ransomware WannaCry a fost deosebit de eficient și dăunător datorită metodei sale de propagare și vulnerabilităților pe care le exploata. WannaCry a profitat de o vulnerabilitate critică în implementarea Microsoft a protocolului Server Message Block (SMB) numită EternalBlue.

Se crede că vulnerabilitatea a fost dezvoltată de Agenția Națională de Securitate (NSA) a SUA și ulterior a fost scursă de un grup numit Shadow Brokers.

Scopul lui WannaCry, ca toate ransomware-urile, era să cripteze fișierele de pe computerul victimei, făcându-le inaccesibile.

Odată ce fișierele au fost criptate, ransomware-ul ar fi afișat un ecran informând victima despre criptare și cerând o răscumpărare în Bitcoin în schimbul unei chei de decriptare. Cererea standard era de 300 de dolari, care ar fi fost dublată dacă plata nu era făcută în termen de trei zile.

Odată infectat un sistem, WannaCry acționa ca un vierme, mutându-se lateral prin rețele și răspândindu-se automat fără nicio interacțiune a utilizatorului.

Acest lucru i-a conferit capacitatea de a se propaga rapid la scară masivă, provocând daune extinse și perturbând infrastructurile critice precum serviciile de sănătate, finanțele, logisticile și rețelele de transport.

GandCrab

Companie țintă: Diverse, inclusiv întreprinderi și persoane fizice (PC-uri folosind MS Windows)

Impact monetar: Estimat să fi extorcat peste 2 miliarde de dolari de la victime.

GandCrab a apărut în 2018 și a devenit rapid unul dintre cele mai răspândite și profitabile atacuri de ransomware. Ceea ce l-a diferențiat pe GandCrab a fost modelul său RaaS, unde malware-ul era licențiat către afiliați care apoi efectuau atacuri și împărțeau un procent din profituri cu dezvoltatorii GandCrab.

Ransomware-ul a fost răspândit în principal prin e-mailuri și kituri de exploatare, în special kiturile GrandSoft și RIG. Odată ajuns pe sistemul unei victime, GandCrab cripta fișierele și cerea o răscumpărare în criptomoneda Dash pentru a le decripta.

Locky

Atacatori: Necunoscuți, posibil hackerii Dridex (cunoscuți și sub numele de Evil Corp sau TA505)

Companie țintă: Diverse (preponderent furnizori de sănătate din SUA, Canada, Franța, Japonia, Coreea și Thailanda)

Impact monetar: Estimat la 1 miliard de dolari.

Locky, activ preponderent între 2016 și 2018, a fost una dintre cele mai prolifice tulpini de ransomware, răspândindu-se prin campanii masive de phishing.

A fost livrat printr-un e-mail cu un atașament de document Word malign. Odată ce utilizatorul deschidea documentul și activa macro-urile, era descărcat și executat payload-ul ransomware-ului.

Locky cripta o gamă largă de tipuri de fișiere de date, amesteca numele fișierelor și cerea o plată în Bitcoin pentru decriptare. În mod remarcabil, putea cripta și fișiere pe partajările de rețea, amplificându-și potențialul de daune.

Locky folosea o combinație de criptare RSA și AES, făcând fișierele victimei inaccesibile până când era plătită o răscumpărare. De obicei, atacatorii cereau între 0,5 și 1 Bitcoin.

Ryuk

Atacatori: Neclar, posibil diverse grupuri folosind malware-ul Ryuk sau Wizard Spider (Rusia)

Companie țintă: Diverse, în mare parte instituții medicale și municipalități.

Impact monetar: Unele surse pretind că au făcut peste 150 de milioane de dolari; cererile individuale de răscumpărare raportate de la 15 la 500 de Bitcoin.

Aparând la mijlocul anului 2018, ransomware-ul Ryuk a devenit rapid o amenințare majoră pentru organizațiile mari. Spre deosebire de multe campanii de ransomware care utilizează distribuție automatizată de masă, Ryuk este livrat manual după o compromitere inițială a rețelei.

Atacatorii efectuează cartografierea extensivă a rețelei, extragerea datelor și culegerea de acreditări înainte de a lansa ransomware-ul Ryuk, provocând perturbări maxime.

Ryuk a fost responsabil pentru numeroase atacuri de înalt profil, cu cereri de răscumpărare între 15 și 500 Bitcoin (aproximativ 100.000 dolari până la 3,7 milioane dolari).

REvil/Sodinokibi

Atacatori: Grupul REvil

Companie țintă: Kaseya și clienții downstream; JBS

Impact monetar: Răscumpărare de 70 de milioane de dolari pentru un cod de decriptare universal.

Grupul REvil a apărut ca o amenințare majoră de ransomware în 2019, dar operațiunile lor cele mai disruptive au început în 2020.

Tacticile lor s-au dezvoltat de-a lungul timpului, dar principalele metode erau de a exploata vulnerabilități în software sau de a păcăli utilizatorii să descarce ransomware-ul prin e-mailuri de phishing sau prin exploatarea vulnerabilităților în protocolul Remote Desktop Protocol (RDP).

Odată intrat într-o rețea, REvil se deplasa lateral, escaladând privilegii, obținând control administrativ și apoi implementând ransomware-ul pentru a cripta fișierele de pe sistemul afectat.

REvil este cunoscut pentru utilizarea unei metode de dublă extorcare. Înainte de a lansa procesul de criptare, ei furau date sensibile din rețelele țintă.

După ce criptau fișierele victimei, cereau o răscumpărare în schimbul cheii de decriptare. Dacă victimele ezitau sau refuzau să plătească, REvil amenința să divulge datele furate pe "Happy Blog" pentru a crește presiunea asupra acestora.

Unul dintre cele mai notorii atacuri ale lor a fost atacul de aprovizionare a lanțului Kaseya VSA în 2021. REvil a exploatat o vulnerabilitate zero-day în software-ul Kaseya VSA, o unealtă pe care organizațiile IT o folosesc pentru a gestiona și monitoriza infrastructura IT.

Prin exploatarea acestei vulnerabilități, au putut distribui ransomware către mulți dintre clienții Kaseya, afectând până la 1.500 de afaceri la nivel mondial.

Un alt atac semnificativ a implicat JBS, cel mai mare procesator de carne din lume.

În acest caz, REvil a folosit o campanie reușită de phishing pentru a obține acces la sistemele JBS, ceea ce a determinat JBS să plătească 11 milioane de dolari pentru a preveni scurgerea datelor.

DoppelPaymer

Atacatori: Grupul DoppelPaymer

Companie țintă: Diverse, inclusiv orașul Torrance, CA,

Pemex (compania petrolieră mexicană) și Spitalul Universitar din Düsseldorf (rezultând în moartea unui pacient)

Impact monetar: Estimat la zeci de milioane; Europol raportează cel puțin 40 de milioane de euro.

DoppelPaymer a apărut în 2019 și, spre deosebire de multe campanii de ransomware care utilizează sisteme automate pentru distribuție de masă, este livrat manual după o compromitere inițială a rețelei.

Pentru a maximiza perturbarea, atacatorii efectuează cartografierea extensivă a rețelei, exfiltrarea datelor și escaladarea privilegiilor înainte de a iniția ransomware-ul DoppelPaymer.

Ransomware-ul folosește multithreading pentru criptare mai rapidă și poate funcționa și offline, criptând fișiere fără a fi nevoie să comunice cu serverele sale de comandă și control.

DoppelPaymer a fost responsabil pentru mai multe atacuri de înalt profil, cereri aleatorii de răscumpărare între 2 și 100 de Bitcoin și încălcări de date care au dus la vânzarea de informații sensibile pe dark web.

SamSam

Atacatori: SUA l-a acuzat pe Faramarz Shahi Savandi și Mohammad Mehdi Shah din Iran.

Companie țintă: Peste 200 de victime, inclusiv municipalități, spitale și instituții publice.

Impact monetar: Peste 6 milioane de dolari în plăți de răscumpărare și 30 de milioane de dolari în alte pierderi au fost estimate.

În perioada 2016-2018, ransomware-ul SamSam a vizat o varietate de sectoare, în special sănătatea, guvernul și educația.

Spre deosebire de alte atacuri de ransomware care sunt de obicei automate, atacatorii au implementat manual SamSam după ce au obținut acces la rețelele țintă prin servere JBoss sau prin exploatarea vulnerabilităților în VPN-uri sau conexiuni RDP.

Apoi, ei au escaladat privilegii și s-au deplasat lateral prin rețea înainte de a implementa ransomware-ul.

Orașul Atlanta și Hancock Health au fost printre victimele remarcabile, cu cereri de răscumpărare care depășeau adesea 50.000 de dolari. Atacul a provocat perturbări masive, cu orașul Atlanta cheltuind mai mult de 2,6 milioane de dolari pentru eforturile de recuperare.

NetWalker/UCSF

Atacatori: NetWalker (cunoscut și sub numele de "Malito," cunoscut și sub numele de Sebastien Vachon-Desjardins, cetățean canadian)

Companie țintă: Zeci de victime, în special Universitatea California, San Francisco (UCSF)

Impact monetar: Zeci de milioane; o răscumpărare de 1,14 milioane de dolari de la UCSF).

NetWalker, o companie RaaS, este cunoscută pentru că vizează cei care probabil ar plăti răscumpărări mari din cauza naturii critice a datelor lor.

Ransomware-ul este livrat în mod obișnuit prin e-mailuri de pescuit cu atașamente malițioase, exploatarea vulnerabilităților în aparatele VPN sau forțarea credențialelor Remote Desktop Protocol (RDP).

Odată intrat în rețea, NetWalker poate să se deplaseze lateral, să escaladeze privilegii și apoi să implementeze ransomware-ul.

În iunie 2020, UCSF a devenit victimă a unui atac de ransomware NetWalker care a perturbat semnificativ operațiunile lor.

Atacul UCSF, afectând în primul rând infrastructura IT a Școlii de Medicină, nu a compromis îngrijirea pacienților sau cercetarea COVID-19 în curs, dar ransomware-ul a criptat date academice critice și înregistrări importante.

Colonial Pipeline

Atacatori: Se crede că este grupul de hackeri cunoscut sub numele de DarkSide.

Companie țintă: Colonial Pipeline

Impact monetar: Răscumpărare de 4,4 milioane de dolari.

În mai 2021, un grup de hackeri numit DarkSide a lansat un atac de ransomware asupra rețelei IT a Colonial Pipeline. Grupul a exploatat un cont VPN expus cu o parolă reutilizată, furând 100 de gigabyte de date în două ore.

Pentru a izola sistemele de tehnologie operațională de rețeaua IT compromisă, Colonial Pipeline și-a închis temporar sistemele, ceea ce a condus la perturbări semnificative în aprovizionarea cu combustibil a estului SUA.

Pentru a minimiza impactul și a restabili rapid operațiunile, Colonial Pipeline a plătit aproximativ 4,4 milioane de dolari în criptomonede pentru a primi o cheie de decriptare.

Oameni afectați de astfel de atacuri cibernetice

Au fost 236,1 milioane de atacuri de ransomware la nivel mondial în prima jumătate a anului 2022.

În 2021, au avut loc 623,3 milioane de atacuri de ransomware la nivel global. Acest lucru nu înseamnă că fiecare atac a fost reușit, dar evidențiază prevalența acestei amenințări cibernetice.

71% dintre organizațiile din întreaga lume au raportat că au fost afectate de atacuri de ransomware în 2022.

Încălcările de date prin ransomware pot afecta pe oricine. În timp ce grupurile de ransomware vizează în mod tipic organizațiile ca ținte mai lucrative, aproximativ 3.700 de indivizi au raportat că au căzut victimă ale unor atacuri de ransomware reușite în 2021.

Cu toate acestea, acest număr este probabil mai mare, deoarece mulți victime nu vor raporta pierderile. Aceasta a însemnat că 49,2 milioane de dolari au fost furați de utilizatorii de internet pe tot parcursul anului 2021.

Au existat aproximativ 2,8 miliarde de atacuri malware doar în prima jumătate a anului 2022.

În prima jumătate a anului 2022, au fost 2,8 miliarde de atacuri malware. „Malware” include orice tip de software malefic, inclusiv ransomware, viruși, troieni și viermi.

Ce procent din toate atacurile cibernetice actuale sunt clasificate ca ransomware?

20% din toate atacurile cibernetice actuale sunt clasificate ca ransomware.

Ransomware-ul a reprezentat o cincime din toate atacurile cibernetice în 2022. Utilizarea credențialelor furate a reprezentat în plus 40% din atacurile în aceeași perioadă.

Atacuri ransomware în România

Mai multe spitale din România s-au confruntat în 2024 cu paralizia activității lor ca urmare a unui atac de tip ransomware asupra serverelor pe care erau stocate bazele de date.

Acest atac a dus la criptarea fișierelor pacienților de pe servere, iar în prezent datele nu pot fi recuperate. Această situație afectează activitatea spitalelor, deoarece funcționarea lor fără un sistem informatic este grav afectată.

Potrivit Directoratului Național pentru Securitate Cibernetică, atacul a fost realizat cu aplicația ransomware Backmydata, un virus din familia ransomware Phobos, care a criptat datele din serverele mai multor spitale din România care folosesc platforma informatică HIPOCRATE.

Sursa: StirilePROTV

Etichete: atac cibernetic, hackeri, ransomware,

Dată publicare: 05-03-2024 07:32

Articol recomandat de sport.ro
Galerie de lux în finala Champions League! Partenerele starurilor de la Real Madrid și Borussia Dortmund, prezente pe Wembley
Galerie de lux în finala Champions League! Partenerele starurilor de la Real Madrid și Borussia Dortmund, prezente pe Wembley
Citește și...
Un bărbat din Vaslui a încercat să verifice o butelie plină de gaz folosind flacăra deschisă. Ce a urmat
Stiri Diverse
Un bărbat din Vaslui a încercat să verifice o butelie plină de gaz folosind flacăra deschisă. Ce a urmat

Un bărbat în vârstă de 43 de ani a fost rănit, duminică, într-o explozie urmată de incendiu, au informat reprezentanţii Inspectoratului pentru Situaţii de Urgenţă (ISU) Vaslui.

Cele două minuni făcute de Carlo Acutis, „influencerul Lui Dumnezeu”. El este primul sfânt din generaţia milenialilor
Stiri Diverse
Cele două minuni făcute de Carlo Acutis, „influencerul Lui Dumnezeu”. El este primul sfânt din generaţia milenialilor

Carlo Acutis este un adolescent care a murit de leucemie în 2006, la vârsta de doar 15 ani.    

Ce a pățit o octogenară care s-a căsătorit cu un bărbat mai tânăr decât ea cu 47 de ani. „Nu m-am așteptat niciodată”
Stiri Diverse
Ce a pățit o octogenară care s-a căsătorit cu un bărbat mai tânăr decât ea cu 47 de ani. „Nu m-am așteptat niciodată”

Iris Jones, o femeie în vârstă de 84 de ani, a vorbit deschis despre capcanele întâlnirilor online, după ce s-a căsătorit cu un bărbat mai tânăr decât ea cu 47 de ani.  

Recomandări
Unde a fost găsit cadavrul unuia dintre românii luați de ape, în Italia. Descoperirea făcută după ce nivelul râului a scăzut
Stiri externe
Unde a fost găsit cadavrul unuia dintre românii luați de ape, în Italia. Descoperirea făcută după ce nivelul râului a scăzut

Autoritățile din Italia au anunțat că au găsit trupurile a doi dintre cei tineri de origine română dispăruți în apele râului Natisone.

După ani de întârzieri și miliarde pierdute, în România se lucrează pe toate tronsoanele de autostradă lipsă
Romania, te iubesc!
După ani de întârzieri și miliarde pierdute, în România se lucrează pe toate tronsoanele de autostradă lipsă

„Pe drum spre Europa” partea I. Uniunea Europeană ne-a pus la dispoziție peste 20 de miliarde de euro din 2007 și până în prezent ca să ne modernizăm infrastructura.

Scandal electoral și bătăi de stradă la Belciugatele. Echipa PSD s-a confruntat dur cu cea a PNL. Poliția a intervenit
Alegeri Locale
Scandal electoral și bătăi de stradă la Belciugatele. Echipa PSD s-a confruntat dur cu cea a PNL. Poliția a intervenit

Primarul și viceprimarul PSD din comuna Belciugatele au fost implicați într-un scandal electoral care s-a lăsat cu intervenția Poliției și a Ambulanței.

Parteneri
VIDEO VOYO
Alt Text!
Întrebarea mesei rotunde
Întrebarea mesei rotunde. George Ivașcu, întâmplarea care i-a schimbat viața: ”Am coborât din pat și m-am pus în genunchi”. Ce a făcut a doua zi

42:37

Alt Text!
Românii Au Talent
Finală | Ediția 17

03:13:19

Alt Text!
Visuri la cheie
Visuri la cheie: Sezonul 10 - Trailer

03:24

Alt Text!
Săriți de pe fix
Săriți de pe fix - Trailer

04:05

Alt Text!
Stirile PRO TV
Stirile PRO TV # 19.00 – 31 Mai 2024

44:28

Alt Text!
Aşii amanetului
Episodul 20

39:16

Alt Text!
Groapa
Ioana Brumar, despre personajul pe care îl interpretează în serialul Groapa și atmosfera de la filmări

03:37

Alt Text!
I like IT
I like IT - Activitățile școlare sunt acum mult mai interesante pentru cei mici datorită noilor tehnologii

06:07

Alt Text!
Groapa
Cine este Alma Coman? Groapa, un nou serial, în curând pe Pro TV și pe VOYO!

00:59

Alt Text!
Conectat la România
Vacanțe fără griji. Cum ne ferim de surprize neplăcute la cazare și avion

13:28