Impérium hackerů LockBit se rozpadá ve velkém přetřesu ransomwaru v roce 2024

Přestože technologičtí a infobezpečnostní nadšenci přeorientovali svou pozornost na velké přísliby umělé inteligence, některé nepříjemné vzorce zůstávají nezměněny. Rok 2024 znamenal další nárůst útoků ransomwaru.

S pomocí Ransomlookeru, nástroje společnosti Cybernews pro sledování trendů v oblasti ransomwaru, výzkumníci sledovali a analyzovali incidenty týkající se ransomwaru a osvětlili tak trendy a dopad na podniky v různých odvětvích.

Podle údajů nástroje Ransomlooker bylo v loňském roce nahlášeno téměř 5 300 obětí ransomwaru, což představuje 26% nárůst oproti předchozímu roku. Provozovatelé ransomwaru nadále dokazují svou neobyčejnou všestrannost, přestože rok 2024 byl poznamenán významnými a dalekosáhlými pokusy orgánů činných v trestním řízení o omezení činnosti útočníků.

Nejlepší útočníci podle Ransomlooker

Zajímavé je, že LockBit, prohlášený za mrtvého po vysoce medializované operaci Cronos na začátku roku 2024, si přesto zajistil první místo mezi kyberzločinci. Tento gang se tak na trůnu usadil již potřetí v řadě.

Stojí však za zmínku, že pozice LockBitu loni výrazně oslabila, protože počet obětí gangů klesl na zhruba 530, což představuje 50% pokles. Vzhledem k tomu, že se celá scéna ransomwaru rozšířila o čtvrtinu, je skutečný propad gangu ještě markantnější.

Je velmi pravděpodobné, že LockBit bude v příštím roce sesazen z trůnu, a je tu jasný kandidát, který míří na smrt – RansomHub. Tento gang, který se objevil v roce 2024, se vyšvihl přímo na vrchol, jeho obětí se stalo téměř 500 organizací a prokázal překvapivou schopnost rychle rozšiřovat své operace.

Mezitím se na třetím místě upevnil gang ransomwaru Play, který si titul drží již druhý rok po sobě s téměř 350 oběťmi. Gang se zaměřil na útoky v odvětvích, jako je výroba/průmysl, nemovitosti/stavebnictví a technologie.

LockBit se přitom většinou zaměřoval na výrobní/průmyslové, technologické a maloobchodní odvětví, zatímco RansomHub věnoval největší úsilí obětem v sektorech nemovitostí/stavebnictví, výroby/průmyslu a maloobchodu.

Horké hackerské léto

Ransomlooker pomohl v loňském roce odhalit znepokojivý trend: šíření nových ransomwarových gangů. Podle týmu dosáhl počet aktivních ransomwarových gangů téměř 89, což je výrazný nárůst oproti 67 v předchozím roce.

„Mezi tsunami nováčků bylo 43 nově vzniklých nebo rebrandovaných skupin, což poukazuje na dynamickou a decentralizovanou povahu ekosystému ransomwaru. Samotní nováčci tvořili více než třetinu všech nárokovaných obětí v roce 2024, což ilustruje jejich agresivní start,“ uvedli výzkumníci.

Kromě RansomHubu do boje silně vstoupily další dvě skupiny: KillSec a Funksec se 136, respektive 91 oběťmi. Nové a bohužel i úspěšné vstupy poukazují na problémy při omezování aktivity ransomwaru – bariéry pro vstup zůstávají nízké a decentralizovaný model fungování umožňuje novým skupinám zaplnit prázdné místo po zrušených skupinách.

Dalším zajímavým trendem, kterého si tým všiml, je sezónní vzorec aktivity skupin ransomwaru. Například jaro a podzim byly pro škodlivé aktéry nejaktivnějšími obdobími – na podzim se obětí stalo téměř 1 600 organizací a na jaře dalších 1 500.

„Tento trend naznačuje, že ransomwarové gangy se mohou strategicky zaměřovat na tato období, kdy jsou podniky plně funkční. Naopak léto bylo v roce 2024 nejméně aktivním obdobím s 1088 oběťmi, což znamená posun oproti historickým vzorcům pozorovaným v předchozích letech,“ uvedl tým.

Dalším faktorem, který k tomu přispívá, může být geografická poloha provozovatelů ransomwaru. Mnoho gangů přímo operuje z Ruska nebo má vazby na Rusko, kde sezónní změny často ovlivňují pracovní aktivitu. Léto je časem dovolených, což je pro provozovatele ransomwaru ideální příležitost, jak utratit své nekalé zisky.

Nejčastěji napadaná odvětví

Podle údajů z Ransomlookeru se kyberzločinci v loňském roce zdrželi inovací zaměřených na cíle. Tři nejvíce obléhaná odvětví věrně kopírovala trendy, které jsou opakované z roku 2023, přičemž hlavní údery útočníků nesla výrobní a průmyslová odvětví.

Gangy vyděračského softwaru se staly oběťmi více než 300 odvětvových společností, což není překvapivý výsledek vzhledem k tomu, jak citlivá je výroba na prostoje, což z nich činí výnosné cíle pro vydírání. V některých případech mohou právní sankce za nesplnění požadavků klientů převýšit požadavky na výkupné.

Druhým nejčastějším cílem byly se 150 oběťmi podniky v technologickém sektoru. Výzkumníci předpokládají, že tyto typy společností přitahují záškodníky kvůli jejich závislosti na kontinuitě bezproblémových globálních operací. Podobně se na třetím místě umístil segment nemovitostí, což ukazuje, že útočníci rádi cílí na organizace s propojenými systémy a cennými daty.

„Klíčovým cílem zůstaly také zdravotnické služby, což vyvolává obavy o bezpečnost kritické infrastruktury. To je obzvláště znepokojivé, protože každý rok přináší více zpráv zdůrazňujících, že útoky ransomwaru na zdravotnická zařízení mohou vést k vážným následkům, včetně ztráty životů pacientů,“ uvedl tým.

V sázce jsou miliardy dolarů

Velké globální korporace jsou sice nejlépe vybaveny těmi nejlepšími nástroji kybernetické bezpečnosti, ale zároveň jsou pro ransomwarové kartely nejvyšší prioritou. Útočníci často vypočítávají požadavky na výkupné jako procento z ročních příjmů oběti a k měření dopadu útoku používají dobu výpadku.

S ohledem na to není divu, že kombinované tržby deseti nejčastěji napadaných společností přesahují 520 miliard dolarů. V roce 2024 by pouhé 1 % příjmů 10 společností mohlo představovat 5,2 miliardy dolarů ve formě výkupného.

Mezi významné oběti patří skupina Volkswagen, světový lídr v automobilovém průmyslu s tržbami ve výši 356 miliard dolarů, energetický gigant Oman Oil s tržbami ve výši téměř 40 miliard dolarů a společnost Marfrig, významný hráč v potravinářském průmyslu s uváděnými tržbami ve výši 27 miliard dolarů.

Bohužel to nejsou jen podniky, které útočníky přitahují. Gangy ransomwaru se nevyhýbají ani vládním institucím bohatým na data, jak dokládá ochromující útok na District of Columbia.

„Ochrana těchto systémů je kriticky důležitá, protože často spravují základní veřejné služby, citlivá data a operace národní bezpečnosti, což z nich činí hlavní cíle útoků, které mohou narušit chod celých komunit,“ vysvětlují výzkumníci.

Útok na Ameriku

Další konstantou v prostředí ransomwaru je jeho geografie. Stejně jako v loňském roce si Spojené státy drží nešťastnou korunu nejčastěji napadané země na světě. Údaje Ransomlooker ukazují, že ve Státech se stalo obětí více než 1 700 organizací, což výrazně převyšuje ostatní země.

Například držitelé druhého a třetího místa, Kanada a Velká Británie, měli více než desetkrát méně obětí. Jedinou pozitivní zprávou je, že nechtěná pozornost kartelů ransomwaru je pravděpodobně známkou toho, že v těchto zemích se hojně vyskytuje vyspělá digitální infrastruktura a cíle s vysokou hodnotou.

Indie, která se umístila na čtvrtém místě, by to měla vzít na vědomí. Největší demokratická země světa chyběla na seznamu nejčastěji napadaných zemí v letech 2021 až 2023, ale v roce 2024 se objevila jako nejžhavější cíl.

Také další země, jako je Itálie, Německo, Francie a Španělsko, zaznamenaly stabilní aktivitu ransomwaru, což ilustruje, jak se útočníci zaměřují na země se silnou ekonomikou a rozsáhlou digitální závislostí.

„Je zřejmé, že ransomware je globální fenomén, který v dohledné době nezmizí. Globální šíření útoků podtrhuje zásadní potřebu posílení kyberbezpečnostních opatření napříč hranicemi,“ uzavřeli výzkumníci.