IT / Статьи
информбезопасность технологии
14.6.2022

Расшифруй, если сможешь

Мировые и российские тренды применения программ-вымогателей

В мае и начале июня в даркнет попали более 50 баз данных российских компаний. Это рекордный показатель, в апреле их было 32, а в марте – 16, подсчитали в Group-IB. Сведения выложены в публичный доступ и могут быть использованы мошенниками, предупреждают эксперты. Какие деньги готовы платить жертвы кибершантажа и что нового в применении шифровальщиков – в материале RSpectr.

СВОЯ СПЕЦИФИКА

Подавляющее большинство атак на российские информационные системы довольно просты с технической точки зрения, отметил руководитель лаборатории цифровой криминалистики и исследований вредоносного кода Group-IB Олег Скулкин на вебинаре «Маски сброшены: Новейшие методы программ-вымогателей 2021–2022».

Олег Скулкин, Group-IB:

– Этому способствует широкое распространение в нашей стране сервисов удаленного доступа. Как правило, они лишены мультифакторной идентификации и адекватных средств защиты, а их пользователи устанавливают простые пароли.

Он обратил внимание, что

сейчас в России начинает распространяться тактика группы Maze, которая в 2019–2020 годах занималась выгрузкой сведений со взломанных сайтов и шантажом с целью получения выкупа

В последние месяцы злоумышленники активно применяют технологии шифрования дисков DiskCryptor или BitLocker для блокировки IT-инфраструктур организаций. При этом они применяют даже не полулегальные фреймворки вроде Cobalt Strike, а такие привычные инструменты, как сетевые экраны.

О.Скулкин рассказал, что

с конца февраля изменились характер действий и мотивы многих хактивистов: они выступают с политическими требованиями и нацелены не на привычный грабеж, а на разрушение

При этом охотно публикуют украденные данные в Twitter или на сайтах для информирования об утечках, вроде DDoSecrets.

Олег Скулкин, Group-IB:

– В хакерской среде сейчас очень популярна программа-вымогатель Conti. Считается, что ее разработали в России. Весной нынешнего года группа под названием NB65 стала применять утекшие в публичное пространство исходные коды Conti при нападениях на отечественные системы.

Итак, очень часто IT-инфраструктура отечественных компаний лишена современных средств защиты, а специалисты, поддерживающие ее, не проводят мониторинг угроз. Именно поэтому нет нужды применять сложные техники и в атаках участвуют в основном низкоквалифицированные злоумышленники, констатирует О.Скулкин.

Однако, подчеркнул эксперт, в Сети также действуют команды, нацеленные на крупные организации. Зачастую они применяют софт собственной разработки, а также доступные инструменты, находящиеся в публичном пространстве, – например, средства для тестирования на проникновение (pentest).

А КАК У НИХ?

По мнению представителя Group-IB, если раньше киберпреступники из разных регионов мира имели характерные инструменты и технические приемы, то

сейчас главный мировой тренд в использовании программ-вымогателей – это смешение тактик

Этой конвергенции способствовала публикация на теневых форумах упомянутого выше сервиса Conti, а также другой информации о способах взлома корпоративных сетей. Из смешения этих подходов сформировался некий универсальный набор действий, заключает О.Скулкин.

По его словам, одним из интереснейших явлений в глобальном мире цифрового криминала являются

брокеры удаленного доступа – злоумышленники, получающие доступ во внутреннюю сеть компаний

Олег Скулкин, Group-IB:

– Они проникают разными способами: с помощью эксплуатации уязвимостей, подбора паролей или фишинговых рассылок, но не похищают данные. Вместо этого брокеры продают вход в систему заинтересованным лицам.

Такой характер носила недавняя атака группировки LockBit на предприятие производителя электронного оборудования – компанию Foxconn в Мексике, отметил он.

Также в хакерской среде распространены свои партнерские программы – RaaS (англ. Ransomware-as-a-Service – «вымогатель как услуга»). В их рамках можно, например, взять в аренду ПО для шифрования или автоматизированные сервисы для передачи сведений в облака.

После ряда крупных инцидентов правоохранительные органы заинтересовались RaaS. Наиболее известные из них были вынуждены закрыться, но довольно быстро вновь начали деятельность уже под другими вывесками. Некоторые начинающие жулики для разгона карьеры предпочитают называться громкими именами звезд цифрового криминала, говорит эксперт.

ДЕНЕЖКИ ЛЮБЯТ СЧЕТ

Несмотря на кризис в глобальной экономике, суммы выкупа, которые требуют кибервымогатели, продолжают расти. Жертвы злоумышленников становятся все крупнее, это позволяет шифровальщикам развивать свою деятельность, нанимать высококлассных специалистов, считает О.Скулкин.

В 60% случаев, когда Group-IB расследовала нападения, связанные с подобным ПО, данные были выгружены. По словам эксперта,

в глобальной практике злоумышленники требуют 1-2% годового оборота компании

В целом средний размер выплаты в мире сейчас составляет 247 тыс. долларов. Но самыми жадными оказались ребята из группы Hive – в ноябре 2021 года они потребовали от ритейлера MediaMarkt 240 млн долларов. Впрочем, в дальнейшем сумма была уменьшена.

Среднее время простоя – с момента установки вредоносного софта до полного восстановления ресурса – в мире составляет 22 дня. Но были случаи, когда выгрузка похищенных данных происходила в течение двух месяцев, рассказал представитель Group-IB.

В России данные похищают намного реже – всего в 12% случаев. Обычно злоумышленники демонстрируют часть сведений в переписке с жертвой и требуют деньги за их дешифровку. По оценкам эксперта,

средний размер выкупа на российском рынке составляет 4,5 млн рублей

Олег Скулкин, Group-IB:

– Самая большая запрошенная сумма оказалась довольно крупной – 1 млрд рублей в пересчете с одной из криптовалют. В целом российские мошенники, специализирующиеся на целевых атаках, действуют по логике своих зарубежных коллег и считают своей добычей примерно 1-2% годового оборота организации.

При этом в России им реже удается добраться до резервных копий, поэтому среднее время простоя веб-ресурса составляет всего 12 дней.

Интересно, что киберграбители, как правило, гарантированно передают ключи дешифрования после получения денег. Но дело не в их благородстве, подчеркивает эксперт,

для хакеров вымогательство – абсолютно адекватный бизнес, способ монетизации собственных навыков. Поэтому случаев обмана жертвы очень мало – не более 10% от общего количества инцидентов

Однако бывает и так, что код вредоносной программы написан не совсем корректно и у пострадавшего могут возникнуть проблемы с разблокировкой своих данных, отметил представитель Group-IB.

Изображение: RSpectr, Adobe Stock

Еще по теме

Новый проект в сфере подготовки кадров поможет развитию инновационных производств страны

Промышленность на отечественном софте: каковы перспективы?

Как научить ребенка безопасно пользоваться интернетом

Когда защиту IT-инфраструктуры можно доверить профессионалам на аутсорсинге

Что нового в разработке открытого программного обеспечения

Как создать независимую целевую IT-платформу

Зачем IT-разработчикам устраивать состязания и объединения

Почему клиенты ненавидят роботов-операторов и возможна ли идеальная автоматизация

Бизнес быстро адаптируется к новым условиям доставки и стоимости IT-оборудования

Как удержать IT-специалистов в российских компаниях

Как защитить важную инфраструктуру от вирусных атак

Промышленные предприятия индустрии ТЭК держат курс на технологический суверенитет

Тренды подготовки бакалавров в области информбезопасности

Какие инструменты наиболее эффективно анализируют цифровую инфраструктуру

Финансирование общественно значимых проектов на онлайн-платформах набирает обороты в России и в мире