Аттракцион невиданной жадности: как и у кого шифровальщики вымогают миллионы долларов

Один из лидеров в сфере кибербезопасности, компания Group-IB, выпустила отчет посвященный шифровальщикам – одной из самых опасных угроз для бизнеса. В новом отчете «Программы-вымогатели 2021-2022» компания назвала самые агрессивные операторы шифровальщиков, которые совершили наибольшее число кибератак в мире: это группы LockBit, Conti и Pysa.

По данным Лаборатории цифровой криминалистики Group-IB, В России количество атак программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года. Средний размер требуемого выкупа составил $247 000, а среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней. 

Рассказываем, кто чаще всего подвергается атакам и какие методы используют шифровальщики сегодня.

На кого нападают чаще всего?

 

Атаки программ-вымогателей уже третий год подряд становятся одной из самых серьезных и разрушительных киберугроз. Эксперты Group-IB исследовали более 700 атак в 2021 году и выяснили, что основные цели для атак по-прежнему приходятся на Северную Америку, Европу, Латинскую Америку и Азиатско-Тихоокеанский регион.

Одна из самых громких атак с участием шифровальщиков в 2021 году – нападение на концерн Toshiba, американскую трубопроводную систему Colonial Pipeline, крупнейшего производителя мяса JBS Foods и IT-гиганта Kaseya.

Самыми жадными вымогателями оказалась команда Hive, которые потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.

Чего хотят вымогатели?

Шифрование, как инструмент давления на жертву, отходит на второй план. Теперь хакеры вымогают средства, угрожая выложить конфиденциальные данные в публичный доступ. В 2021 году этим методом воспользовалось 63%. шифровальщиков.

Использование метода давления на жертву, заставляя ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе, достигло пика именно в 2021 году. Количество выложенных данных компаний за год увеличилось на 935% — с 229 жертв до 2 371.

При этом хакеры стали гораздо быстрее добиваться своих целей. Среднее время нахождения шифровальщиков в сети жертвы сократилось с 13 до 9 дней.

Какая ситуация в России?

 

Атаки программ-вымогателей на российские компании в 2021 году увеличились более чем на 200%. Самым активными шифровальщиками оказались Dharma, Crylock и Thanos.

Русскоязычная группа OldGremlin, которая в 2021 году хоть и снизила свою активность, но все же провела одну массовую атаку, которая оказалась настолько успешной, что кормила «гремлинов» весь год. Например, у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей.

Сегодня атаки шифровальщиков в России нацелены на крупный бизнес от 5000 сотрудников. Это касается отрасли строительства, страхования и агропромышленного комплекса. В первом квартале 2022 года количество атак программ-вымогателей в России выросли в 4 раза по сравнению с 2021 годом.

Преступный ребрендинг

Одним из трендов 2021 года стал «ребрендинг» групп вымогателей. Операторы шифровальщиков стали менять свои названия из-за повышенного внимания к ним со стороны исследователей и правоохранительных органов. После того как DarkSide и REvil исчезли из публичного пространства, на сцене появился новой игрок – BlackMatter, затем его сменил BlackCat. Ранее группа DoppelPaymer переименовала свои новые программы-вымогатели в Grief (Pay OR Grief).

Инструменты атак

 

Самым частым способом получения доступа в сети компаний стала компрометация публичных RDP-серверов. На этот вектор атаки приходится почти половина (47%) всех исследованных инцидентов. На втором месте — фишинг (26%), а на третьем — эксплуатация общедоступных приложений (21%).

В 2021 году некоторые операторы шифровальщиков стали «работать» через 0-day (англ. zero day) — неустраненные или еще не выявленные уязвимости, которые используют атакующие. Так, партнеры REvil атаковали тысячи клиентов Kaseya, эксплуатируя уязвимости 0-day в серверах VSA.

Самым популярным инструментом вымогателей для пост-эксплуатации оказался Cobalt Strike, который был замечен в 60% исследованных атак. Однако некоторые злоумышленники экспериментируют с менее распространенными фреймворками, чтобы снизить вероятность обнаружения. Например, группировка TA551 экспериментировала с доставкой вредоносного ПО на основе кроссплатформенного фреймворка Sliver.

Будет ли возмездие?

Отвечая на этот вопрос, приведем цитату Олег Скулкина, руководителя Лаборатории цифровой криминалистики Group-IB:

«В 2021 году киберугроза №1 впервые получила серьезный отпор — начались аресты участников преступных групп, часть вымогателей вынуждены были залечь «на дно» или замести следы, проводя ребрендинг. Однако несмотря на некоторую обеспокоенность киберпреступного сообщества, атаки представителей других партнерских программ продолжаются — так что говорить о закате шифровальщиков пока еще рано. Почти 70% инцидентов, над расследованием которых работает наша Лаборатория, приходятся на атаки с использованием программ-вымогателей и мы полагаем эта тенденция сохранится и в текущем году»

Что будем искать? Например,ChatGPT

Мы в социальных сетях