Кто же снится руководителям корпораций в ночных кошмарах?
Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год.
Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше.
Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года.
Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?).
Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию.
Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них.
Хакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов.
Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления.
Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа (IAB), чтобы ускорить проведение атак и поразить как можно большее число компаний.
Данная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения.
ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола (RDP).
Хакеры Blackcat нацелены как на машины под управлением Windows и Linux, так и на устройства NAS, которые часто используются для хранения резервных копий и конфиденциальных данных.
Эта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS, а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта.
Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками.
В кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты.
У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций ( и даже целых городов ), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства.
Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв.
Это относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti.
Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США.
Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике .
Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение.
Какая бы хакерская группировка не стояла во главе вымогательской отрасли, само по себе вымогательство продолжает оставаться одной из наиболее опасных и прибыльных форм киберпреступности.
Несмотря на совершенствование защитных методов и возможностей восстановления данных, ущерб от подобных атак по-прежнему колоссален. Чтобы эффективно противостоять подобным угрозам, организации должны внедрять комплексный подход к обеспечению кибербезопасности, включающий регулярное резервное копирование, сегментацию сети, обучение персонала, использование современных средств защиты и мониторинга.
Только так можно минимизировать риски и уберечь бизнес от разорительных последствий атак вымогателей.
Одно найти легче, чем другое. Спойлер: это не темная материя