Ransomware-группировка
Что такое Ransomware-группировка?
Ransomware-группировкаФинансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
Современные ransomware-группы работают как структурированные преступные предприятия. Ядро команды разрабатывает шифровальщик, ведёт сайт утечек, договаривается о выкупе, обналичивает криптовалюту и нанимает партнёров по модели Ransomware-as-a-Service (RaaS). Партнёры получают начальный доступ (часто через IAB, фишинг или эксплойты VPN/Citrix), проводят разведку, повышают привилегии, вытаскивают данные и разворачивают шифровальщик. Применяется двойное вымогательство (шифрование плюс угроза утечки) и всё чаще тройное (DDoS, давление на клиентов). Известные бренды: LockBit, Conti, REvil, BlackCat/ALPHV, Cl0p, Royal/BlackSuit, Akira, Play, Hive, 8Base. Они — приоритетная цель для правоохранительных операций, санкций и takedown инфраструктуры.
● Примеры
- 01
LockBit работал в 2019—2024 годах, имея тысячи жертв, пока в феврале 2024 года глобальная операция не повредила его инфраструктуру.
- 02
Cl0p в 2023 году использовал zero-day в MOVEit Transfer, чтобы вымогать у сотен организаций по всему миру.
● Частые вопросы
Что такое Ransomware-группировка?
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций. Относится к категории Защита и операции в кибербезопасности.
Что означает Ransomware-группировка?
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
Как работает Ransomware-группировка?
Современные ransomware-группы работают как структурированные преступные предприятия. Ядро команды разрабатывает шифровальщик, ведёт сайт утечек, договаривается о выкупе, обналичивает криптовалюту и нанимает партнёров по модели Ransomware-as-a-Service (RaaS). Партнёры получают начальный доступ (часто через IAB, фишинг или эксплойты VPN/Citrix), проводят разведку, повышают привилегии, вытаскивают данные и разворачивают шифровальщик. Применяется двойное вымогательство (шифрование плюс угроза утечки) и всё чаще тройное (DDoS, давление на клиентов). Известные бренды: LockBit, Conti, REvil, BlackCat/ALPHV, Cl0p, Royal/BlackSuit, Akira, Play, Hive, 8Base. Они — приоритетная цель для правоохранительных операций, санкций и takedown инфраструктуры.
Как защититься от Ransomware-группировка?
Защита от Ransomware-группировка обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Ransomware-группировка?
Распространённые альтернативные названия: Группа вымогателей.
● Связанные термины
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Криминальная бизнес-модель, в которой операторы шифровальщика сдают своё ВПО и инфраструктуру в аренду партнёрам, выполняющим атаки и делящимся прибылью.
- defense-ops№ 536
Initial Access Broker (IAB)
Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.
- defense-ops№ 624
LockBit
Русскоязычная ransomware-as-a-service группа, ставшая в 2022—2024 годах самой плодовитой по числу жертв и серьёзно подорванная операцией Cronos.
- defense-ops№ 215
Ransomware Conti
Русскоязычная ransomware-операция 2020—2022 годов, проводившая одну из самых массовых программ двойного вымогательства и распавшаяся после крупных внутренних утечек.
- defense-ops№ 099
BlackCat / ALPHV
Ransomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством.
● См. также
- № 1145Субъект угрозы
- № 542Внутренняя угроза (insider)
- № 268Cybercrime-as-a-Service (CaaS)
- № 418FIN-группа
- № 928REvil / Sodinokibi
- № 271Даркнет