Kyberzločinci jsou zřejmě přesvědčeni, že cílené ransomwarové útoky na firmy jsou potenciálně výnosnější než plošné útoky na jednotlivce.
Stále více kyberzločinců si za oběti svých cílených útoků ransomwarem místo soukromých uživatelů vybírá komerční společnosti. Do vývoje a distribuce šifrujícího ransomwaru se zapojilo minimálně dalších osm kyberzločineckých skupin. Jejich primárním cílem jsou finanční instituce po celém světě. Analýza Kaspersky Lab uvádí i případy, kdy kybernetičtí zločinci požadovali výkupné vyšší než půl milionu dolarů.
Mezi osmi identifikovanými skupinami figurují autoři PetrWrap, kteří útočili na finanční instituce po celém světě, známá skupina Mamba a šest dalších, bezejmenných skupin taktéž cílících na korporátní uživatele. Zajímavým faktem přitom je, že právě těchto šest skupin dříve mnohem častěji útočilo na koncové uživatele.
Taktika, techniky a postupy těchto skupin jsou v podstatě velmi podobné. Vyhlédnuté organizace infikují malwarem, který k nim doručí skrz zranitelné servery nebo pomocí phishingových e-mailů. Následně se usadí v síti napadené společnosti a vyhledávají cenné zdroje, které zašifrují. Za jejich odšifrování nakonec požadují výkupné.
Navzdory těmto podobnostem některé skupiny vykazují své vlastní unikátní prvky. Skupina Mamba například využívá svůj vlastní šifrovací malware, založený na open source softwaru DiskCryptor. Jakmile útočníci proniknou do sítě, zahájí její šifrování, přičemž k tomu využívají legální funkcionalitu pro vzdálené ovládání Windows. Díky tomuto přístupu je celá akce bezpečnostním specialistům napadené organizace méně nápadná.
Další jedinečný nástroj využívaný k cíleným ransomwarovým útokům pochází od skupiny PetrWrap. Ta cílí především na velké společnosti, v jejichž síti se nachází velké množství zařízení. Pro každý útok, který probíhá i delší dobu, si cíl pečlivě vybírají. Ve firemní síti může PetrWrap působit až šest měsíců.