Ищите себя в утечках даркнета: исследователи назвали ТОП-5 самых опасных вымогательских банд 2023 года

Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год.

Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше.

Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года.

Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?).

Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию.

Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них.

LockBit — 18,7% наблюдаемых случаев

Хакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов.

Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления.

Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа (IAB), чтобы ускорить проведение атак и поразить как можно большее число компаний.

ALPHV / Blackcat — 18,7% наблюдаемых случаев

Данная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения.

ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола (RDP).

Хакеры Blackcat нацелены как на машины под управлением Windows и Linux, так и на устройства NAS, которые часто используются для хранения резервных копий и конфиденциальных данных.

Black Basta — 12,9% наблюдаемых случаев

Эта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS, а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта.

Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками.

Royal – 12,9% наблюдаемых случаев

В кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты.

У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций ( и даже целых городов ), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства.

Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв.

Akira – 12,26% наблюдаемых случаев

Это относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti.

Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США.

Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике .

Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение.

Что в сухом остатке?

Какая бы хакерская группировка не стояла во главе вымогательской отрасли, само по себе вымогательство продолжает оставаться одной из наиболее опасных и прибыльных форм киберпреступности.

Несмотря на совершенствование защитных методов и возможностей восстановления данных, ущерб от подобных атак по-прежнему колоссален. Чтобы эффективно противостоять подобным угрозам, организации должны внедрять комплексный подход к обеспечению кибербезопасности, включающий регулярное резервное копирование, сегментацию сети, обучение персонала, использование современных средств защиты и мониторинга.

Только так можно минимизировать риски и уберечь бизнес от разорительных последствий атак вымогателей.