Группировки можно разделить на три разные категории в зависимости от их известности и времени активности.
Киберпреступные группировки, действующие в рамках бизнес-модели «вымогательское ПО-как-услуга» (Ransomware-as-a -Service, RaaS) активно ищут партнеров, чтобы разделить прибыль, полученную от кибератак с использованием вымогательского ПО на общественные и частные организации.
В настоящее время существует более двух десятков активных RaaS-группировок, которые активно стремятся поручить вымогательские атаки сторонним организациям. По словам специалистов из компании Intel 471, существуют также «известные частные банды, действующие в тесных, сплоченных криминальных кругах, и использующие прямые и частные каналы связи, о которых мало что известно».
Группировки вымогателей можно разделить на три разные категории в зависимости от их известности и времени, в течение которого они были активны. Они варьируются «от хорошо известных группировок, которые стали синонимами программ-вымогателей, до совершенно новых группировок, способных свергнуть преступных гигантов».
В первую категорию входят группы, которые за последние годы успешно заработали сотни миллионов долларов путем вымогательства. Подавляющее большинство из них также используют дополнительные схемы вымогательства, такие как кража конфиденциальной информации из сетей своих жертв и угроза утечки данных в случае отказа платить выкуп.
К данной категории относятся следующие RaaS-группировки: DopplePaymer (атаки на Pemex , Bretagne Télécom, Университет Ньюкасла, Университет Дюссельдорфа ), Egregor ( Crytek , Ubisoft , Barnes & Noble ), Netwalker/Mailto ( Equinix , UCSF, Государственный университет штата Мичиган, Toll Group) и REvil/Sodinokibi ( Travelex , аэропорт Нью-Йорка, местное правительство Техаса).
Ryuk находится на вершине рейтинга, и ее полезные нагрузки были обнаружены примерно в каждой третьей атаке программ-вымогателей за последний год. Группа также известна тем, что доставляет свои полезные нагрузки в рамках многоэтапных атак с использованием Trickbot, Emotet и BazarLoader для легкого проникновения в сети своих целей.
Во второй категории RaaS-группировки постепенно выросли до большего числа филиалов в течение 2020 года и были вовлечены в несколько подтвержденных атак. Сюда входят: SunCrypt, Conti, Clop, Ragnar Locker, Pysa/Mespinoza, Avaddon, DarkSide (считается ответвлением REvil) и пр. Как и представители первой категории, они также используют тактику кражи данных в качестве дополнительного метода вымогательства.
Вымогатели из третьей категории представляют собой недавно созданные филиалы, но, согласно Intel 471, «информация об успешных атаках и требованиях выкупа сильно ограничена». Сюда входят Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog и Exorcist.
Но доступ к знаниям открыт для всех