Lunavara on märkimisväärne ohuvektor, mis läheb ettevõtetele, ettevõtetele ja infrastruktuuri haldajatele maksma miljardeid dollareid aastas. Nende ohtude taga peituvad professionaalsed lunavarajõugud, kes loovad ja levitavad pahavara, mis teeb rünnakud võimalikuks.

Mõned neist rühmadest ründavad ohvreid otse, samas kui teised kasutavad populaarset Ransomware-as-a-Service (RaaS) mudelit, mis võimaldab sidusettevõtetel konkreetseid organisatsioone välja pressida.

Kuna lunavaraoht kasvab pidevalt, on vaenlase ja nende toimimise tundmine ainus viis ees püsimiseks. Niisiis, siin on nimekiri viiest kõige surmavamast lunavararühmast, mis küberjulgeoleku maastikku häirivad.

1. REvil

REvili lunavaragrupp ehk Sodinokibi on Venemaal asuv ettevõte ransomware-as-a-service (RaaS) operatsioon, mis ilmus esmakordselt 2019. aasta aprillis. Seda peetakse üheks halastamatumaks lunavararühmaks, millel on seos Venemaa Föderaalse Teenindusagentuuriga (FSB).

Rühm äratas kiiresti küberjulgeolekuspetsialistide tähelepanu oma tehnilise võimekuse ja jultumusega kõrgetasemelisi sihtmärke püüda. 2021. aasta oli kontserni jaoks kõige tulusam, kuna see oli suunatud mitmele rahvusvahelisele ettevõttele ja häiris mitmeid tööstusharusid.

Peamised ohvrid

2021. aasta märtsis REvil ründas elektroonika- ja riistvarakorporatsiooni Acer ja ohustas selle servereid. Ründajad nõudsid dekrüpteerimisvõtme eest 50 miljonit dollarit ja ähvardasid suurendada lunaraha 100 miljoni dollarini, kui ettevõte ei täida grupi nõudmisi.

Kuu aega hiljem korraldas rühmitus uue kõrgetasemelise rünnaku Apple'i tarnija Quanta Computersi vastu. See üritas väljapressida nii Quantat kui ka Apple'i, kuid kumbki ettevõte ei maksnud nõutud 50 miljonit dollarit lunaraha.

REvili lunavaragrupp jätkas oma häkkimist ja võttis sihikule JBS Foods, Invenergy, Kaseya ja mitmed teised ettevõtted. JBS Foods oli sunnitud ajutiselt oma tegevuse sulgema ja maksis tegevuse jätkamiseks hinnanguliselt 11 miljonit dollarit Bitcoinis lunaraha.

The Kaseya rünnak tõi kontsernile soovimatut tähelepanu, kuna see mõjutas otseselt rohkem kui 1500 ettevõtet kogu maailmas. Pärast mõningast diplomaatilist survet vahistasid Venemaa võimud 2022. aasta jaanuaris mitu rühmituse liiget ja arestisid varasid miljonite dollarite väärtuses. Kuid see katkestus oli lühiajaline REvili lunavarajõuk on taas tööle hakanud alates aprillist 2022.

2. Conti

Conti on veel üks kurikuulus lunavarajõuk, mis on alates 2018. aasta lõpust pealkirju teinud. See kasutab topeltväljapressimise meetod, mis tähendab, et grupp hoiab dekrüpteerimisvõtit kinni ja ähvardab tundlikke andmeid lekitada, kui lunaraha ei maksta. Varastatud andmete avaldamiseks haldab see isegi lekkivat veebisaiti Conti News.

Conti eristab teistest lunavaragruppidest eetiliste piirangute puudumine selle sihtmärkidel. Ta korraldas mitu rünnakut haridus- ja tervishoiusektoris ning nõudis miljoneid dollareid lunaraha.

Peamised ohvrid

Conti lunavara grupil on pikk ajalugu kriitiliste avalike infrastruktuuride (nt tervishoid, energeetika, IT ja põllumajandus) sihtimisel. 2021. aasta detsembris teatas grupp, et ohustas Indoneesia keskpanka ja varastas tundlikke andmeid 13,88 GB ulatuses.

2022. aasta veebruaris ründas Conti rahvusvahelist terminalioperaatorit SEA-invest. Ettevõte opereerib 24 meresadamat üle Euroopa ja Aafrika ning on spetsialiseerunud puistlasti, puuviljade ja toiduainete, vedellasti (nafta ja gaas) ning konteinerite käitlemisele. Rünnak mõjutas kõiki 24 sadamat ja põhjustas olulisi häireid.

Conti oli aprillis kompromiteerinud ka Browardi maakonna avalikke koole ja nõudnud 40 miljonit dollarit lunaraha. Rühm lekitas varastatud dokumente oma ajaveebi pärast seda, kui piirkond keeldus lunaraha maksmast.

Hiljuti pidi Costa Rica president välja kuulutama riikliku hädaolukorra pärast Conti rünnakuid mitme valitsusasutuse vastu.

3. DarkSide

DarkSide'i lunavaragrupp järgib RaaS-i mudelit ja sihib suurettevõtteid suurte rahasummade väljapressimiseks. See saavutab juurdepääsu ettevõtte võrgule, tavaliselt andmepüügi või toore jõu abil, ja krüpteerib kõik võrgus olevad failid.

DarkSide'i lunavararühma päritolu kohta on mitu teooriat. Mõned analüütikud arvavad, et see asub Ida-Euroopas, kusagil Ukrainas või Venemaal. Teised usuvad, et grupil on frantsiisid mitmes riigis, sealhulgas Iraanis ja Poolas.

Peamised ohvrid

Grupp DarkSide nõuab suuri lunaraha, kuid väidab, et tal on käitumiskoodeks. Rühm väidab, et see ei ole kunagi suunatud koolidele, haiglatele, valitsusasutustele ja mis tahes infrastruktuurile, mis mõjutab avalikkust.

Kuid 2021. aasta mais viis DarkSide läbi Koloonia torujuhtme rünnak ja nõudis 5 miljonit dollarit lunaraha. See oli USA ajaloo suurim küberrünnak naftataristu vastu ning häiris bensiini ja lennukikütuse tarnimist 17 osariigis.

Juhtum tekitas vestlusi kriitilise infrastruktuuri turvalisuse ja selle üle, kuidas valitsused ja ettevõtted peavad olema nende kaitsmisel hoolikamad.

Pärast rünnakut üritas DarkSide'i rühmitus oma nime puhastada, süüdistades rünnakus kolmandate osapoolte sidusettevõtteid. Siiski, vastavalt Washington Postaastal otsustas rühmitus pärast Ameerika Ühendriikide surve suurenemist oma tegevuse lõpetada.

4. DoppelPaymer

DoppelPaymeri lunavara on BitPaymeri lunavara järglane, mis ilmus esmakordselt 2019. aasta aprillis. See kasutab ebatavalist meetodit ohvritele helistamiseks ja bitcoinides lunaraha nõudmiseks.

DoppelPaymer väidab, et asub Põhja-Koreas ja järgib topeltväljapressimise lunavaramudelit. Grupi tegevus langes nädalaid pärast Colonial Pipeline'i rünnakut, kuid analüütikud usuvad, et see nimetas end ümber Griefi grupiks.

Peamised ohvrid

DopplePaymer on sageli suunatud naftafirmadele, autotootjatele ja kriitilistele tööstusharudele, nagu tervishoid, haridus ja hädaabiteenused. See on esimene lunavara, mis põhjustas Saksamaal patsiendi surma pärast seda, kui kiirabitöötajad ei saanud haiglaga suhelda.

Rühm jõudis pealkirjadesse, kui avaldas Gruusiast Halli maakonnast pärit valijate teavet. Eelmisel aastal ohustas see ka Kia Motors America klientidele suunatud süsteeme ja varastas tundlikke andmeid. Rühm nõudis lunarahaks 404 bitcoini, mis oli tollal ligikaudu 20 miljonit dollarit.

5. LockBit

Tänu teiste gruppide allakäigule on LockBit viimasel ajal olnud üks silmapaistvamaid lunavarajõugusid. Alates selle esmakordsest ilmumisest 2019. aastal on LockBit näinud enneolematut kasvu ja oma taktikat oluliselt edasi arendanud.

LockBit alustas algselt madala profiiliga jõuguna, kuid saavutas populaarsuse LockBit 2.0 turuletoomisega 2021. aasta lõpus. Rühm järgib RaaS-i mudelit ja kasutab ohvrite väljapressimiseks topeltväljapressimise taktikat.

Peamised ohvrid

LockBit on praegu mõjukas lunavaragrupp, mis moodustas 2022. aasta mais üle 40 protsendi kõigist lunavararünnakutest. See ründab organisatsioone USA-s, Hiinas, Indias ja Euroopas.

Selle aasta alguses võttis LockBit sihikule Prantsuse rahvusvahelise elektroonikaettevõtte Thales Groupi ja ähvardas tundlikke andmeid lekitada, kui ettevõte ei täida grupi lunarahanõudeid.

See ohustas ka Prantsusmaa justiitsministeeriumi ja krüpteeris nende failid. Rühm väidab nüüd, et on rikkunud Itaalia maksuametit (L'Agenzia delle Entrate) ja varastati 100 GB andmeid.

Kaitse lunavara rünnakute eest

Lunavara on jätkuvalt edukas musta turu tööstus, mis teenib nendele kurikuulsatele jõugudele igal aastal miljardeid dollareid tulu. Arvestades RaaS-i mudeli rahalist kasu ja üha suurenevat kättesaadavust, on ohud kindlasti suurenemas.

Nagu iga pahavara puhul, on valvsus ja sobiva turvatarkvara kasutamine sammud lunavara vastu võitlemiseks õiges suunas. Kui te pole veel valmis investeerima esmaklassilisse turbetööriista, saate oma arvuti kaitsmiseks kasutada Windowsi sisseehitatud lunavarakaitsetööriistu.