Один из лидеров в сфере кибербезопасности, компания Group-IB, выпустила отчет посвященный шифровальщикам – одной из самых опасных угроз для бизнеса. В новом отчете «Программы-вымогатели 2021-2022» компания назвала самые агрессивные операторы шифровальщиков, которые совершили наибольшее число кибератак в мире: это группы LockBit, Conti и Pysa.
По данным Лаборатории цифровой криминалистики Group-IB, В России количество атак программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года. Средний размер требуемого выкупа составил $247 000, а среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней.
Рассказываем, кто чаще всего подвергается атакам и какие методы используют шифровальщики сегодня.
На кого нападают чаще всего?
Атаки программ-вымогателей уже третий год подряд становятся одной из самых серьезных и разрушительных киберугроз. Эксперты Group-IB исследовали более 700 атак в 2021 году и выяснили, что основные цели для атак по-прежнему приходятся на Северную Америку, Европу, Латинскую Америку и Азиатско-Тихоокеанский регион.
Одна из самых громких атак с участием шифровальщиков в 2021 году – нападение на концерн Toshiba, американскую трубопроводную систему Colonial Pipeline, крупнейшего производителя мяса JBS Foods и IT-гиганта Kaseya.
Самыми жадными вымогателями оказалась команда Hive, которые потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.
Чего хотят вымогатели?
Шифрование, как инструмент давления на жертву, отходит на второй план. Теперь хакеры вымогают средства, угрожая выложить конфиденциальные данные в публичный доступ. В 2021 году этим методом воспользовалось 63%. шифровальщиков.
Использование метода давления на жертву, заставляя ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе, достигло пика именно в 2021 году. Количество выложенных данных компаний за год увеличилось на 935% — с 229 жертв до 2 371.
При этом хакеры стали гораздо быстрее добиваться своих целей. Среднее время нахождения шифровальщиков в сети жертвы сократилось с 13 до 9 дней.
Какая ситуация в России?
Атаки программ-вымогателей на российские компании в 2021 году увеличились более чем на 200%. Самым активными шифровальщиками оказались Dharma, Crylock и Thanos.
Русскоязычная группа OldGremlin, которая в 2021 году хоть и снизила свою активность, но все же провела одну массовую атаку, которая оказалась настолько успешной, что кормила «гремлинов» весь год. Например, у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей.
Сегодня атаки шифровальщиков в России нацелены на крупный бизнес от 5000 сотрудников. Это касается отрасли строительства, страхования и агропромышленного комплекса. В первом квартале 2022 года количество атак программ-вымогателей в России выросли в 4 раза по сравнению с 2021 годом.
Преступный ребрендинг
Одним из трендов 2021 года стал «ребрендинг» групп вымогателей. Операторы шифровальщиков стали менять свои названия из-за повышенного внимания к ним со стороны исследователей и правоохранительных органов. После того как DarkSide и REvil исчезли из публичного пространства, на сцене появился новой игрок – BlackMatter, затем его сменил BlackCat. Ранее группа DoppelPaymer переименовала свои новые программы-вымогатели в Grief (Pay OR Grief).
Инструменты атак
Самым частым способом получения доступа в сети компаний стала компрометация публичных RDP-серверов. На этот вектор атаки приходится почти половина (47%) всех исследованных инцидентов. На втором месте — фишинг (26%), а на третьем — эксплуатация общедоступных приложений (21%).
В 2021 году некоторые операторы шифровальщиков стали «работать» через 0-day (англ. zero day) — неустраненные или еще не выявленные уязвимости, которые используют атакующие. Так, партнеры REvil атаковали тысячи клиентов Kaseya, эксплуатируя уязвимости 0-day в серверах VSA.
Самым популярным инструментом вымогателей для пост-эксплуатации оказался Cobalt Strike, который был замечен в 60% исследованных атак. Однако некоторые злоумышленники экспериментируют с менее распространенными фреймворками, чтобы снизить вероятность обнаружения. Например, группировка TA551 экспериментировала с доставкой вредоносного ПО на основе кроссплатформенного фреймворка Sliver.
Будет ли возмездие?
Отвечая на этот вопрос, приведем цитату Олег Скулкина, руководителя Лаборатории цифровой криминалистики Group-IB:
«В 2021 году киберугроза №1 впервые получила серьезный отпор — начались аресты участников преступных групп, часть вымогателей вынуждены были залечь «на дно» или замести следы, проводя ребрендинг. Однако несмотря на некоторую обеспокоенность киберпреступного сообщества, атаки представителей других партнерских программ продолжаются — так что говорить о закате шифровальщиков пока еще рано. Почти 70% инцидентов, над расследованием которых работает наша Лаборатория, приходятся на атаки с использованием программ-вымогателей и мы полагаем эта тенденция сохранится и в текущем году»