2024/02/21 13:33:09

Вирусы-вымогатели (шифровальщики) Ransomware


Содержание

Основная статья: Вредоносная программа (зловред)

Попав на компьютер-«жертву» вирусы-шифровальщики шифруют информацию наиболее распространённых форматов — «офисные», медиа-файлы, архивы, то есть то, что представляет собой наиболее чувствительные для пользователя данные, это либо «работа», либо «жизнь». Дело даже не в выкупе, механизмы доставки денег быстро блокируются и все это понимают.

Сколько нужно злоумышленников, чтобы с нуля создать и распространить «эффективного» шифровальщика

Первое, что необходимо сделать, — написать троянца. Во-первых, для этого потребуется специалист по криптографии, который воплотит в коде определенный алгоритм шифрования. Во-вторых, если криптограф не силен в стелс-технологиях, нужен еще один программист, который будет обеспечивать скрытность действий энкодера в системе. Ему же стоит позаботиться о том, чтобы троянец не обнаруживался известными антивирусами. Иногда для этого даже нанимают тестировщика (уже третий член команды). Если планируется использование уязвимостей или прочие сложные сетевые «фокусы», то не обойтись еще и без специалиста по сетевым технологиям[1].

Итак, троянца написали и протестировали на антивирусах, с этим порядок. Теперь его надо распространить — ведь он не вирус, и сам размножаться не умеет. Тут потребуется еще больше народу. Во-первых, специалист по социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишинговых сайтов. Это необходимо для того, чтобы максимальное число пользователей перешло по ссылке в письме, сохранило и запустило вложение или «купилось» на фишинговый сайт. Во-вторых, веб-дизайнер, который разработает упомянутый сайт. В-третьих, спамер, в идеале — с обширными базами для рассылки, лучше всего — четко таргетированными (база компаний, база физлиц в определенном регионе и т. д.). В-четвертых, специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступного сообщества. И сюда же условно можно причислить «вольных художников» из мира киберкриминала — различных исследователей уязвимостей, которые ищут «дыры» в ОС и приложениях, после чего продают эту информацию разработчикам вредоносного ПО.Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

Конечно, зачастую услуги каждого из этих «специалистов» могут быть просто оплачены отдельно — например, куплена краденая база данных адресов и заказана спам-рассылка по ней, а один программист может применять знания из нескольких нужных областей. Кроме того, можно «расковырять» уже существующего троянца и, модифицировав его, распространить как нового. Для совсем ленивых есть вариант покупки на черном рынке готовой к распространению версии шифровальщика, которую достаточно настроить под свои реквизиты и выпустить в сеть, а то и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Почта. При отсутствии эффективного спам-фильтра в вашу почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными. Конечно, приложенные к таким письмам «документы» и оказываются этими самыми троянцами, которых пользователь запускает при открытии архивов. Важно, что хотя для человека такие «письма счастья» выглядят весьма серьезно, спам-фильтр вряд ли пропустит их, а почтовый антивирус сможет обезвредить известные ему угрозы, тем самым избавив пользователя от риска попасться на удочку злоумышленников.

Вредоносные сайты. Тут есть два варианта. В первом случае пользователь, скачивая приложения или другие файлы с фишинговых, взломанных или просто никем не контролируемых ресурсов (файлообменники, торренты и т. д.), сам запускает их, даже не подозревая, что вместе с полезным материалом получил вредоносный «довесок». Второй вариант развития событий еще хуже: достаточно бывает просто зайти на зараженный сайт, чтобы запустившийся скрипт загрузил на ПК троянца и активизировал его. К счастью, это возможно только при совершенно «небезопасных» настройках браузера и операционной системы. К несчастью, именно такие настройки и имеет большинство пользователей...

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и запуск троянцев.

Защита от вирусов-вымогателей (шифровальщиков)

Основная статья: Защита от вирусов-вымогателей (шифровальщиков)

Ransomware of Things (RoT)

Основная статья: Ransomware of Things (RoT)

Согласно отчету кибербезопасности Check Point 2020, представленному 8 июля 2020 года, в мире растущей гиперподключенности, когда устройства подключаются к одним и тем же сетям, наблюдается эволюция кибератак с помощью вымогателей. Вместо того, чтобы перехватывать информацию или данные компании или отдельного лица, злоумышленники берут на себя полное управление устройствами, подключенными к интернету. Пользователи не смогут использовать их, пока выкуп не будет выплачен. Эта тактика называется Ransomware of Things (RoT). Традиционные атаки с помощью вымогателей представляют риск для организаций, но RoT-атаки несут серьезные последствия для всего общества в целом.

Известные вирусы

Rasket

Основная статья: Rasket (вирус-вымогатель)

Conti

Основная статья: Conti (вирус-вымогатель)

DoppelPaymer

Основная статья: DoppelPaymer (вирус-вымогатель)

Pay2Key

Основная статья: Pay2Key (вирус-вымогатель)

RegretLocker

Основная статья: RegretLocker (вирус-вымогатель)

Ragnar Locker

Основная статья: Ragnar Locker (вирус-вымогатель)

CovidLock

Основная статья: CovidLock (вирус-вымогатель)

Ryuk

Основная статья: Ryuk (вирус-вымогатель)

Reveton

Основная статья: Reveton (вирус-вымогатель)

Maoloa

Основная статья: Maoloa (вирус-вымогатель)

DemonWare

Основная статья: DemonWare (вирус-вымогатель)

CryWiper

Основная статья: CryWiper (вирус-вымогатель)

LockBit

Основная статья: LockBit (вирус-вымогатель)

Sphynx

Основная статья: Sphynx (вирус-вымогатель)

HardBit

Основная статья: HardBit (вирус-вымогатель)

2024

В России запущен интерактивный симулятор атаки вирусов-вымогателей

В России запущен интерактивный симулятор атаки вирусов-вымогателей. Речь идет о разработке «Лаборатории Касперкого». Пресс-служба компании рассказала о ней в начале марта 2024 года. Подробнее здесь.

100 медучреждений в Румынии атаковал вирус-вымогатель. Их компьютеры заблокированы

12 февраля 2024 года Министерство здравоохранения Румынии сообщило о том, что более 100 медицинских учреждений страны пострадали из-за атаки программы-вымогателя. Компьютеры больниц оказались заблокированы, а файлы и базы данных зашифрованы, из-за чего воспользоваться ими невозможно. Подробнее здесь.

Власти американской Пенсильвании заплатили выкуп в $350 тыс. после атаки вируса-вымогателя, заблокировавшего госсерверы

15 февраля 2024 года власти округа Вашингтон в штате Пенсильвания сообщили о выплате выкупа в размере почти $350 тыс. киберпреступникам, организовавшим массированную атаку с использованием программы-вымогателя. Это вторжение фактически парализовало работу государственной ИТ-инфраструктуры. Подробнее здесь.

В России ликвидирована группа кибервымогателей SugarLocker

Сотрудники МВД России при поддержке специалистов компании F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями, вычислили и задержали участников преступной группы вымогателей SugarLocker. Работали злоумышленники под вывеской легальной ИТ-фирмы, предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов. Об этом TAdviser 20 февраля 2024 года сообщили представители F.A.C.C.T.

По данным следствия, программа-вымогатель SugarLocker (aka Encoded01) появилась еще в начале 2021 года, но в первое время активно не использовалась. В ноябре 2021 же года на андеграундном форуме RAMP от участника под ником gustavedore было опубликовано объявление о запуске партнерской программы по модели RaaS (от англ. Ransomware-as-a-Service, «программа-вымогатель как услуга») и наборе партнёров в группу вымогателей, использовавших шифровальщик SugarLocker. Суть модели RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей.

В объявлении говорилось, что хакерская группировка атакует цели через сети и RDP — протокол удаленного рабочего стола, не работает по странам СНГ и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — SugarLocker. В случае, если доход превысит $5 млн, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.

В начале января 2022 года эксперты F.A.C.C.T. установили, что некоторые элементы инфраструктуры SugarLocker располагались на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить SugarPanel — панель управления программой-вымогателем.

В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы.

Работали злоумышленники под вывеской легальной ИТ-фирмы Shtazi-IT, предлагающей услуги по разработке лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых сотрудников — разработчиков, в контактах был указан Telegram-аккаунт все того же @GustaveDore. Всю собранную информацию эксперты F.A.C.C.T. передали в полицию — БСТМ МВД России.

В январе 2024 года трое членов группы SugarLocker были задержаны сотрудниками БСТМ МВД России при участии специалистов компании F.A.C.C.T. В ходе обыска у подозреваемых были обнаружены ноутбуки, мобильные телефоны, следы переписки, прочие цифровые улики, подтверждающие их противоправную деятельность. Среди задержанных оказался и обладатель ник-неймов blade_runner, GistaveDore, GustaveDore, JimJones.

По информации F.A.C.C.T., фигурантам уже предъявлены обвинения по статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Ведётся следствие.

M0r0k T34m атакует организации под видом «однофамильцев» действующих сотрудников

Команда отдела реагирования и цифровой криминалистики Angara SOC обнаружила группировку M0r0k T34m (Morok Team) (Sunset Wolf) - кластер, активный как минимум с ноября 2023 года. Хакеры атакуют различные организации с целью распространениях программы-вымогателя и затем требуют выкуп за расшифровку. Об этом компания Angara Security сообщили 9 февраля 2024 года.

Группировка применяет собственную программу-вымогатель - M0r0k, написанную при помощи Python и использующую алгоритм Fernet для рекурсивного шифрования файлов. Никакого дополнительного расширения при этом не добавляется, но в начало зашифрованного файла идет добавление строки MR !

Из примечательного, в качестве закрепления в скомпрометированной сети и коммуникации с так называемым сервером управления используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины.

«
ngrok в принципе стал очень популярен, например, ее использование характерно для Shadow Wolf (также известны как Shadow или C0met). Дополнительно атакующие также создают учетные записи, которые в последующем добавляют в привилегированные группы, а выбирают названия учетных данных максимально похожих на легитимные, в том числе "однофамильцев" действующих сотрудников», - сказал Никита Леокумович, руководитель отдела реагирований и цифровой криминалистики Angara SOC.
»

Несмотря на то, что полная реконструкция инцидента еще идет, эксперты отмечают, что получение первоначального доступа в сеть реализуется через эксплуатирование уязвимостей публично доступных приложений.

Риск заражения может быть снижен за счет мониторинга информационной инфраструктуры, а именно выявление обнаружение и реагирование на массовое удаление, создание или изменение файлов, добавление привилегированных учетных записей, использование утилит для удаленного подключения и все внешние подключения.

2023

Хакеры увеличили на 20% требования к выкупу при атаках вирусов-вымогателей до $600 тыс.

В 2023 году средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс. Это на 20% больше по сравнению с предыдущим годом, когда данный показатель находился на отметке $500 тыс. Такие данные приводятся в отчете компании Arctic Wolf Networks, опубликованном 20 февраля 2024 года.

Отмечается, что размер выкупа варьируется в зависимости от сферы деятельности атакуемой организации. Так, в юридической, государственной, розничной и энергетической отраслях киберпреступники в 2023-м требовали в среднем $1 млн или больше. Специалисты Arctic Wolf Networks говорят о том, что тенденция роста суммы выкупа среди группировок-вымогателей сохраняется. Связано это с новыми инициативами по борьбе с киберпреступностью и с растущим количеством отказов жертв от перечисления запрашиваемых денег.

Средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс

«
Атак программ-вымогателей остерегаются организации и большого, и маленького размера, и на это есть веские причины: нанесенный такими вирусами урон приводит к огромным потерям, не считая собственно выкупа, — говорят специалисты Arctic Wolf Networks.
»

В исследовании также отмечается, что в 2023 году киберпреступники активно эксплуатировали уязвимости, выявленные в 2022-м и раньше. Такие дыры были задействованы почти в 60% инцидентов. При этом только 12% кибератак были связаны с уязвимостями нулевого дня. В 2023 году хакеры часто проводили нападения, связанные с компрометацией деловой электронной почты: количество таких инцидентов оказалось приблизительно в 10 раз больше по сравнению с числом атак программ-вымогателей. В целом, объем киберинцидентов продолжает расти с каждым годом. Злоумышленники берут на вооружение новые тактики, основанные на применении генеративного искусственного интеллекта.[2]

Платежи жертв вирусов-вымогателей в мире достигли рекордных $1,1 млрд

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд, что является новым рекордом. Для сравнения, в 2022-м эта цифра оценивалась в $567 млн. Таким образом, зафиксирован двукратный рост в годовом исчислении, о чем говорится в исследовании аналитической компании Chainalysis, результаты которого опубликованы 7 февраля 2024 года.

В отчете отмечается, что доход операторов программ-шифровальщиков в виде выкупов устойчиво рос в разгар пандемии COVID-19. В частности, в 2019 году он составлял около $220 млн, а в 2020-м достиг $905 млн. В 2021 году злоумышленники получили от своих жертв $983 млн. Но в 2022-м произошел резкий спад. Эксперты связывают это со сложившейся геополитической обстановкой: конфликт не только нарушил деятельность некоторых киберпреступных группировок, но и сместил их акцент с финансовой выгоды на политически мотивированные кибератаки, направленные на шпионаж и разрушение ИТ-инфраструктуры. Но уже в 2023 году операторы вирусов-вымогателей вернулись к привычной деятельности, и объем платежей жертв снова начал расти.

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд

В исследовании говорится, что в 2023 году в сегменте программ-шифровальщиков произошел значительный рост частоты, масштабов и объемов атак. Такие киберкампании осуществлялись самыми разными хакерскими сообществами — от крупных синдикатов до небольших групп и отдельных лиц. Кроме того, злоумышленники внедряют новые тактики, в частности, схему охоты на так называемую «крупную дичь». Она позволяет совершать меньше атак, получая при этом более крупные выкупы от больших корпораций и организаций.

В 2023 году среди крупнейших жертв вирусов-вымогателей оказались нефтегазовая компания Shell, правительственное организации США, авиакомпания British Airways и др. Все большую долю в общем объеме платежей составляют выкупы на сумму $1 млн и выше.[3]

Число вирусов-шифровальщиков за год выросло на 20%

Количество атак вирусов-шифровальщиков выросло на 20% в 2023 году. Такой информацией с TAdviser поделились представители ИТ-компании «Киберпротект» 2 февраля 2024 года. Согласно данным компании, в лидерах оказались США, Канада, Великобритания, Австралия и Россия. Эксперты «Киберпротект» подсчитали, как часто за последний год происходили крупные и публичные потери информации из-за атак хакеров-вымогателей, какие отрасли пострадали больше всего и какой была сумма выкупа в среднем.

По данным за 2023 год сообщалось о 150 крупных таких атак, что на 30 атак больше, чем годом ранее. При этом доля России выросла с 1 до 4 процентов. По темпам роста нашу страну опережает только США — количество известных атак там выросло на 17% за период с 2022 по 2023.

Чаще всего в 2023 году сообщали об атаках на госсектор (24 нападения), причем такая динамика сохраняется второй год подряд. В 2022 году в СМИ фигурировали 22 крупных нападения на правительственные учреждения. ИТ-компании также находятся в топе самых атакуемых жертв, однако в 2023 году динамика положительная. Количество нападений сократилось на 30 процентов — 18 атак в 2023 против 24 нападений в 2022. Также риску атак хакеров подвержены и учреждения социальной сферы — университеты, больницы и школы. В 2023 году их атаковали на 30% чаще, чем в 2022.

Бессменные группировки-лидеры в 2022 и 2023 — группировки Lockbit и Conti. Западные власти и компьютерные эксперты связывают их с выходцами из России и стран постсоветского пространства, но точных подтверждений этому нет.

В топ-3 по активности после Lockbit и Conti в 2022 году входила предположительно российская группировка Hive, которая за время существования получила более $100 млн от своих жертв в качестве выкупов. Несмотря на активность в 2022 (10 крупных атак), в 2023 году совместными усилиями властей США и ЕС группировку удалось ликвидировать. Но «свято место — пусто не бывает»: в прошлом году ее место заняла BlackCat (AlphaV), совершив 9 крупных кибератак и став героем новостей 6 раз.

Самый крупный выкуп, который фигурировал в медиа в 2023 году, внесла американская сеть казино Caesars Entertainment — $15.000.000 (половину от того, что требовали хакеры). Злоумышленники украли базу данных программы лояльности компании, которая также содержала данные водительских прав и номера социального страхования клиентов.

Средний чек за выкуп, в свою очередь, составлял от $250.000 до $10.000.000. Однако 2022 год в финансовом плане для хакеров был успешнее: самый крупный разовый платеж от жертвы составил $60.000.000. Его киберпреступники потребовали за расшифровку файлов крупного автомобильного дилера Великобритании Pendragon.

Выполнение требований хакеров обычно ничего не гарантирует. После внесения выкупа данные могут и не расшифровать, также их могут слить в интернет или передать компаниям-конкурентам. Кроме того, по нашим наблюдениям участились случаи повторных атак на компанию. Злоумышленники остаются в системе бизнеса и шифруют данные снова, спустя время.

«
Единственный эффективный метод защиты данных от последствий атаки вирусов-вымогателей — это резервное копирование — базовый элемент киберустойчивости любой организации. Практика показывает, что далеко не все компании используют его системно и часто приходят к внедрению полноценного резервного копирования уже после того, как впервые столкнулись с инцидентом и потеряли ценные данные, понесли материальные и репутационные потери. Особенно остро эта проблема стоит в сегменте малого и среднего бизнеса, где бюджеты на защиту информационных систем ограничены, но при этом потеря данных может привести не просто к ущербу, но и к потере всего бизнеса, — сказала Елена Бочерова, исполнительный директор компании «Киберпротект». — Инциденты с такими компаниями редко становятся публичными, статистика обозначает проблему, которая стоит еще более остро.
»

ФБР взломало инфраструктуру русскоязычных хакеров-вымогателей, чем разозлило их

Министерство Юстиции США объявило о взломе инфраструктуры русскоязычной хакерской банды «Черная кошка» (Blackcat, она же ALPHV, она же Noberus). Спецслужбам США удалось получить доступ к ключам дешифровки, что позволило создать им инструменты для восставноления ИТ-инфраструтуры компаний, которые пострадали от действий данной кибергруппировки. Подробнее

У владельца магазинов North Face и Timberland остановлены ИТ-системы из-за атаки вируса-вымогателя

18 декабря 2023 года американская компания VF Corp., владеющая такими брендами одежды и обуви, как Dickies, Icebreaker, North Face, Timberland, Supreme и Vans, сообщила о хакерском вторжении. Из-за атаки вируса-вымогателя пришлось остановить ряд ИТ-систем, а операционная деятельность VF Corp. серьезно пострадала. Подробнее здесь.

40 стран во главе с США договорились никогда не платить выкуп хакерам

В конце октября 2023 года 40 стран во главе с США заявили сообщили о подписании документа, закрепляющего их обещание никогда не платить выкуп хакерам, а также работать над уничтожением экономической основы существования киберпреступников.

Данный альянс получил название The International Counter Ransomware Initiative. Его появление не случайно, так как число хакерских атак с требованием выкупа продолжает расти каждый год. В 2023 году 46% таких кибератак пришлось на США. Объем выплат кибервымогателям только за первую половину 2023 года достиг половины миллиарда долларов.

The International Counter Ransomware Initiative планирует работать над уничтожением экономической основы существования хакеров

Хакеры взламывают защиту жертвы, шифруют файлы и потом требуют выкуп за восстановление доступа к ним. Зачастую похищаются личные приватные данные, которые при отсутствии оплаты утекают в интернет.

Жертвами становятся не только обычные пользователи интернета, но и крупные компании – так, за осень 2023 года от атак вымогателей пострадали оператор казино MGM Resorts International и создатель средств бытовой химии Clorox.

«
Пока люди перечисляют деньги вымогателям, эта проблема продолжит расти - заявила Анна Нойбергер, советник президента США по вопросам национальной безопасности со специальностью в кибертехнологиях.
»

Участники альянса планируют обмениваться между собой информацией о каналах, которыми пользуются вымогатели для получения и вывода денег. Планируется создать две платформы для обмена информацией, их созданием займутся Литва, Израиль и ОАЭ. Кроме этого, страны создадут «черный список» цифровых кошельков, которые используются для вывода денег, полученных путем вымогательства. Для анализа цепочек блокчейна планируется привлечь искусственный интеллект.[4]

«Транстелеком» атакован вирусом-вымогателем

«Транстелеком» атакован вирусом-вымогателем, о чем стало известно в конце октября 2023 года. Как рассказали «Коммерсанту» источники на рынке информационной безопасности, у компании собственный центр реагирования на киберинциденты, но тем не менее хакерам удалось поразить ИТ-инфраструктуру поставщика телекоммуникационных решений для частных пользователей и крупного бизнеса. Подробнее здесь.

Количество кибердиверсий в России за год выросло на 140%

20 октября 2023 года лаборатория цифровой криминалистики компании F.A.С.С.T. сообщила о том, что исследовала высокотехнологичные преступления 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом 2022 года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Еще стремительнее росло количество политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры — рост к 2022 году составил 140%. Подробнее здесь.

Злоумышленники атакуют российские компании с помощью утекших исходных кодов программ-вымогателей

Преступные группы Battle Wolf, Twelfth Wolf и Shadow Wolf используют для атак на российские организации утекшие в сеть программы-вымогатели Babuk, Conti и LockBit. По данным киберразведки BI.ZONE, число атак превышает 40. Об этом компания сообщила 6 сентября 2023 года.

С начала 2022 года внутри многих преступных групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.

Battle Wolf появилась в конце февраля 2022 года на фоне геополитических событий. По данным, публикуемым группой в X (ранее Twitter), за это время она успешно атаковала как минимум 15 крупных организаций на территории России: научные, производственные, государственные, финансовые и другие.

Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем Telegram-канале группа сообщала об атаке на один из федеральных органов исполнительной власти РФ, которая, по их словам, привела к утечке конфиденциальной информации.

Shadow Wolf заявила о себе в марте 2023 года несколькими успешными атаками на российские инженерные, страховые, транспортные и медиакомпании. В отличие от Battle Wolf и Twelfth Wolf, группа руководствуется исключительно финансовыми мотивами. Коммуникация между представителем Shadow Wolf и жертвой обычно проходит на странице в дарквебе, адрес которой помещен в записку с требованием выкупа за расшифровку и удаление выгруженных данных. В некоторых случаях атакующие создают чат в Telegram, куда добавляют весь ИТ-персонал пострадавшей организации.

«
Опубликованные в сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом, — отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Узнавать о новых группах атакующих, актуальных техниках и тактиках киберпреступников помогут решения киберразведки. Для эффективного выявления новых угроз эксперты BI.ZONE советуют применять решения класса EDR (обнаружение и реагирование на конечных точках).

Установлена связь вымогателей Shadow c хактивистами из группы Twelve

Эксперты компании F.A.C.C.T. выяснили, что вымогатели из преступной группы Shadow и хактивисты из Twelve являются частью одной хак-группы. Об этом компания сообщила в сентябре 2023 года. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру. Однако, если Shadow движет финансовая мотивация — за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей, то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. зафиксировали в феврале-марте 2023 года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере $1,5-2 млн., примерно 140-190 млн рублей по текущему курсу.

Хакеров отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе проводят полное шифрование инфраструктуры. Для Windows-систем вымогатели используют версию программы-вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.

Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может проходить в Telegram-канале атакующих. Любопытно, что хакеры могут похищать сессии Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям компании.

Параллельно с Shadow в феврале 2023 года были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы. Именно эта группа — Twelve — весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае — на российского производителя гидравлического оборудования.

В своих кампаниях Twelve использовали также версию программы-вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект — «это ответ мира на российские кибератаки.

Российские компании атакуют рассылками с шифровальщиком PyCrypter под видом криптообменника с VPN

11 июля 2023 года центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и ИТ-компании. В письмах, перехваченных 9 июля 2023 года автоматизированной системой защиты электронной почты Business Email Protection от F.A.C.C.T., получателям предлагают использовать приложение CryptoBOSS для работы с криптовалютой и VPN.

Image:Photo_2023-07-11_10-38-25.jpg

В сообщении рекламируют "безопасный и полностью анонимный доступ ко всем валютам". Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика PyCrypter. Любопытно, что домен, с которого загружается ВПО – crypto4boss[.]com совсем свежий, зарегистрирован 6 июля специально под атаку на пользователя с почтой vladymir.stojanov@hotmail[.]com

Эта учетная запись с юзернеймом Vladimir Stoyanov уже использовалась осенью 2022 года и весной 2023 года в рассылках другого шифровальщика — Cryptonite. Тогда в письмах от имени председателя правительства Михаила Мишустина предупреждалось об "атаке" некой шпионской программы, подготовленной "американскими ИТ-специалистами". От пользователей требовали скачать "программу от МВД", которая якобы удаляет ВПО и защищает от повторного заражения. Но на самом деле через ссылку Google Drive загружался шифровальщик.

Image:Photo_2023-07-11_10-38-25_(2).jpg

Теперь эта история повторяется уже в виде криптофарса.

Eisai стал жертвой вымогательской атаки

Японская фармацевтическая компания Eisai, специализирующаяся на разработке и производстве лекарств от рака, деменции и других заболеваний, на днях сообщила о том, что столкнулась с атакой программы-вымогателя, которая существенно повлияла на операции компании. Об этом стало известно 8 июня 2023 года. Подробнее Eisai_(Эйсай)#.2A2023:_.D0.9A.D0.B8.D0.B1.D0.B5.D1.80.D0.B0.D1.82.D0.B0.D0.BA.D0.B0здесь.

Суды города в Техасе не работают уже месяц из-за атаки вируса-вымогателя

В начале июня 2023 года появилась информация о том, что суды Далласа в штате Техас в течение месяца не могут полностью возобновить работу из-за атаки программы-вымогателя. Киберпреступники также вывели из строя ряд компьютерных систем пожарных и полицейских управлений города. Подробнее здесь.

Американская телеком-компания Dish Network заплатила хакерам выкуп после атаки вируса-вымогателя

В середине мая 2023 года стало известно о том, что американский телевизионный провайдер Dish Network, по всей видимости, заплатил киберпреступникам значительный выкуп после атаки вируса-вымогателя. Подробнее здесь.

Новые вирусы-вымогатели атакуют российские компании и требуют выкуп в 8 млн рублей

18 мая 2023 года эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.

Как сообщалось, первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021 года. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.

В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.

Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.

Начиная с апреля 2022 года «близнецы-вымогатели» LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Это является еще одним подтверждением, что от атак шифровальщиков не застрахован никто, а масштаб бизнеса — не является для части из них важным критерием.

Начальная сумма выкупа, которую требуют вымогатели, колеблется от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), финальный размер зависит от платежеспособности компании и числа приобретаемых жертвой ключей расшифровки — для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Одной из особенностей вымогателей, на которую обратили внимание эксперты, является проверка языка ввода — если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.

Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям. В свою очередь криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.

В компании F.A.C.C.T. установили, что в среднем продолжительность атак вымогателей LokiLocker и BlackBit составляет от суток до нескольких дней. В качестве первоначального вектора атаки злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары «логин/пароль» (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день. Предварительно, вымогатели стараются отключить антивирусное программное обеспечение, используя легитимные утилиты (T1562.001). В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. По истечении 30-дневного срока — если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.

«
В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker. Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, в первую очередь публично доступных терминальных серверов — это значительно расширяет поверхность атаки и оптимизирует задачу злоумышленникам.

заметил Валерий Баулин, генеральный директор компании F.A.C.C.T.
»

Эксперты F.A.C.C.T. рекомендуют компаниям малого и среднего бизнеса использовать простые и удобные в работе продукты класса Attack Surface Management, которые анализируют «пробелы» в защите внешнего периметра компании, включая по неосторожности оставленные открытыми порты, «забытые» и неконтролируемые ИТ-ресурсы и другие потенциальные пути проникновения злоумышленников в инфраструктуру организации.

Если же компанию атаковали — наиболее быстрым способом реагировать на инцидент является так называемый ретейнер — это пакет предоплаченных проактивных и реактивных сервисов для профессионального реагирования на атаку в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагирование или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование юридических документов.

Как начинаются атаки вирусов-вымогателей на компании. 3 самых популярных сценария

В мае 2023 года «Лаборатория Касперского» опубликовала исследование, в рамках которого назвала самые распространённые векторы атак программ-вымогателей. По данным антивирусной компании, 43% атак шифровальщиков в мире в 2022 году начиналось с эксплуатации уязвимостей в общедоступных приложениях. Почти в каждом четвёртом случае (24%) атаки программ-вымогателей начинались с использования ранее скомпрометированных аккаунтов пользователей, а в 12% - с вредоносных писем.

Эксперты отмечают, что в ряде случаев целью атакующих было не шифрование данных, а получение доступа к личной информации пользователей, интеллектуальной собственности и другим конфиденциальным данным организаций.

В ходе расследования инцидентов с применением программ-шифровальщиков эксперты компании обнаружили, что в большинстве случаев злоумышленники находились в сети клиента некоторое время после проникновения. Атакующие зачастую используют PowerShell для сбора данных, Mimikatz для повышения привилегий и PsExec для удалённого выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки.

«
Скомпрометированные учётные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки посредством программ-шифровальщиков. Чтобы минимизировать эти риски, важно, чтобы компании вводили и контролировали политику надёжных паролей, регулярно обновляли корпоративное ПО, а также обучали сотрудников основам информационной безопасности, - отметил руководитель глобальной команды реагирования на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов.
»

Природа информационной безопасности - исследование Лаборатории Касперского за 2022 г.

В России зафиксированы атаки вирусов-вымогателей без возможности восстановления данных

В марте 2023 года в специализирующейся на кибербезопасности компании BI.Zone сообщили об атаках хакерской группировки Key Wolf на российских пользователей. По словам ИБ-экспертов, злоумышленники распространяют файл с вирусом-вымогателем, которая шифрует все данные на компьютере. Причем у жертв нет возможности дешифровать данные, даже за выкуп. Подробнее здесь.

Служба федеральных маршалов США атакована вирусом-вымогателем

В конце февраля 2023 года служба федеральных маршалов США подверглась кибератаке с применением вируса-вымогателя. Сначала об этом сообщили в СМИ, а в ведомстве подтвердили инцидент. Подробнее здесь.

У крупнейшего ИТ-вуза Ирландии украли 6 Гбайт данных сотрудников, в том числе зарплатных. Занятия отменены

В начале февраля 2023 года Мюнстерский технологический университет в Ирландии подвергся профессионально организованной кибератаке с помощью вируса-вымогателя. Всего хакеры украли 6 ГБ конфиденциальных данных, включая коммерческую информацию. Подробнее здесь.

Калифорнийский город объявил чрезвычайное положение после атаки вируса-вымогателя, парализовавшего работу почти всех городских служб

В середине февраля 2023 года город Окленд, расположенный в штате Калифорния, подвергся атаке вируса-вымогателя, в результате чего многие государственные службы были отключены от сети. В результате власти города вынужены были объявить чрезвычайное положение (ЧП). Подробнее здесь.

Атака вирусов-вымогателей отбросила полицию Калифорнии на 80 лет назад

8 февраля 2023 года полиция в городах Окленд и Модесто в штате Калифорнии (США) подверглась атаке вирусов-вымогателей, В результате чего государственные службы были отключены от сети, а полиция вынуждена перешла к старым инструментам, таким как использование портативных радиостанций, ручек и бумаги во время патрулирования городов. Подробнее здесь.

Вирус-вымогатель заблокировал компьютеры крупнейшего израильского ИТ-вуза

В феврале 2023 года хакеры атаковали израильский технологический институт Технион, требуя $1,7 млн. Злоумышленники потребовали 80 биткойнов и пригрозили увеличить сумму на 30%, если выкуп не будет выплачен в течение 48 часов. Подробнее Технион – Израильский технологический институтздесь.

2 года хакеры используют дыру в ПО VMware для успешных атак вирусов-вымогателей

В начале февраля 2023 года Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупредила о распространении новой программы-вымогателя, получившей название ESXiArgs. Она проникает в системы жертв через дыру в серверном программном обеспечении VMware. Подробнее здесь.

Вирусы-вымогатели атаковали десятки ГИС в Италии и отключили их

5 февраля 2023 года Национальное агентство по кибербезопасности Италии (ACN) предупредило о широкомасштабной кампании по распространению программ-вымогателей. Зловреды атакуют тысячи серверов в Европе и Северной Америке.

Сообщается, что взлом затронул несколько десятков национальных информационных систем в Италии. На многих атакованных серверах повреждены средства обеспечения безопасности. Пострадали также ресурсы в Финляндии, США, Канаде и во Франции. Согласно результатам предварительного расследования, атака нацелена на уязвимость в технологии VMware ESXi — специализированном гипервизоре. Патч для дыры, о которой идёт речь, был выпущен ещё в феврале 2021 года, однако до сих пор не все организации установили апдейт. Этим и пользуются киберпреступники, распространяющие вредоносную программу.

Вирусы-вымогатели атаковали десятки ГИС в Италии

По оценкам, по всему миру были скомпрометированы тысячи компьютерных серверов, и, по мнению аналитиков, их число, вероятно, возрастёт. Французское агентство по кибербезопасности (ANSSI) обнародовало предупреждение с рекомендацией как можно скорее загрузить обновление для VMware ESXi, устраняющее проблему. Некоторые из пострадавших ГИС оказались неработоспособны.

Высказывались предположения, что атаки могут быть связаны с госструктурами или недружественными странами. Однако специалисты, изучившие характер данной киберпреступной кампании, пришли к выводу, что она, скорее всего, организована некой хакерской группировкой с целью шантажа и вымогательства. О сумме, которую хотят получить злоумышленники от своих жертв, ничего не сообщается.

«
Нет никаких свидетельств того, что эти кибератаки связаны с организациями, имеющими отношение к каким-либо государственным структурам или недружественно настроенным странам, — говорится в заявлении правительства Италии.[5]
»

Вирус-вымогатель атаковал трейдинговую платформу и на несколько дней подорвал работу банков в США и Европе

31 января 2023 года международный провайдер финансовых данных и услуг Ion Group сообщил об атаке программы-вымогателя. В результате нарушена работа подразделения ION Cleared Derivatives, которое предоставляет программное обеспечение для финансовых организаций и банков. Подробнее здесь.

Владельца KFC в Британии атаковал вирус-вымогатель

В январе 2023 года американская корпорация Yum! Brands, которой принадлежат бренды KFC, Pizza Hut и Taco Bell, стала жертвой кибервымогателей. Атака злоумышленников привела к временному закрытию 300 заведений из-за выхода со строя информационно-технологических систем компании и утечке данных в Великобритании на несколько дней. Подробнее здесь.

Британская почта перестала отправлять посылки за границу из-за атаки вируса-вымогателя

18 января 2023 года Королевская почта Британии (Royal Mail), оператор, имеющий около 15 000 офисов по всей стране, сообщила о том, что была вынуждена приостановить оказание ряда услуг в связи с кибератакой. Подробнее здесь.

Отключение Rackspace Hosted Exchange после атака вируса-вымогателя

В начале января 2023 года были обнародованы причины масштабного сбоя, затронувшего системы компании Rackspace Technology, предоставляющей облачные услуги. Инцидент привёл к отключению почтового сервиса Rackspace Hosted Exchange — восстанавливать его функционирование провайдер не намерен, поэтому просит пользователей переходит на другие проекты. Подробнее здесь.

2022

Почти 68% исследованных кибератак в России завершались шифрованием данных

17 марта 2023 года компания Group-IB сообщила о том, что исследовала высокотехнологичные преступления 2022 года на базе проведенных реагирований на инциденты в российских компаниях.

Почти 68% исследованных кибератак в России завершались шифрованием данных

По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.

Наиболее агрессивными группами программ-вымогателей в России в 2022 году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.

Еще одной тенденцией 2022 года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс. Кибердиверсии — отличительная черта 2022 года. Этому во многом способствовал геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit — криминалисты Group-IB неоднократно видели их использование в атаках на организации в России.

Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений — ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.

Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).

Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.

Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.

Еще одним способом получения первоначального доступа к ИТ-инфраструктурам компаний стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом брутфорс (brutforce, перебор паролей), так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.

Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах.

«
Исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса. В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно. Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты.

рассказал Валерий Баулин, генеральный директор Group-IB в России и СНГ
»

Услуга ритейнера по реагированиям на инциденты набирает популярность на российском рынке, говорится в исследовании. Ритейнер — это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагировании или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов. Впервые услуга ритейнера в России была запущена Лабораторией компьютерной криминалистики Group-IB в 2015 году.

В 2022 году международная консалтинговая компания Aite-Novarica в отчете Impact Report признала Group-IB одним из самых крупных поставщиков услуги Incident Response Retainer (IRR).

Вирусы-вымогатели поразили 870 объектов критической инфраструктуры США

В 2022 году жертвами программ-вымогателей стали как минимум 870 объектов критической инфраструктуры США. Такие данные приводятся в отчёте, опубликованном 14 марта 2023 года Федеральным бюро расследований.

Статистика подготовлена на основе количества обращений в Центр жалоб на интернет-преступления (IC3) в составе ФБР. Поэтому, как отмечает ресурс Bleeping Computer, фактическое число взломов критически важных организаций с применением шифровальщиков может быть значительно выше. В отчёте IC3 говорится, что из 16 секторов критической инфраструктуры США в 2022-м от атак вирусов-вымогателей пострадали 14 отраслей. Наибольшую активность проявляли кибергруппировки, стоящие за вредоносными программами Lockbit (149 вторжений), ALPHV/BlackCat (114 атак) и Hive (87 нападений).

Вирусы-вымогатели за 2022 год поразили 870 объектов критической инфраструктуры США

Максимальное количество атак вымогателей в сегменте американской критической инфраструктуры в 2022 году совершено на учреждения сферы здравоохранения — в IC3 зафиксировали 210 таких инцидентов. На втором месте с точки зрения частоты вторжений оказалось производство — 157 случаев. Замыкают тройку государственные организации — 115 инцидентов. Кроме того, злоумышленники часто атаковали компании ИТ-сектора (107 зарегистрированных случаев) и финансовые структуры (88 нападений).

В общей сложности жертвы программ-вымогателей в 2022 году подали 2385 жалоб, а скорректированные убытки составили более $34,3 млн. ФБР рекомендует не перечислять выкуп киберпреступникам, поскольку платежи не гарантируют, что жертвы восстановят свои файлы. Кроме того, такие транзакции могут способствовать дальнейшим атакам и, как отмечается, с большой вероятностью будут использованы для финансирования новых киберпреступных кампаний. ФБР призывает пострадавших сообщать об инцидентах с программами-вымогателями в IC3.

FBI: Ransomware hit 860 critical infrastructure orgs in 2022

Европа оказалась лидером по числу атак вирусов-вымогателей

В 2022 году Европа вышла в лидеры по количеству атак вирусов-вымогателей. Такие данные приводятся в исследовании IBM, результаты которого были опубликованы 22 февраля 2023 года.

Киберпреступники нацелены прежде всего на наиболее критичные отрасли и предприятия. Внедрив программу-вымогателя в ИТ-инфраструктуру жертвы, злоумышленники используют сильное психологическое давление, чтобы добиться выплаты выкупа. Производство было самой атакуемой отраслью в 2022 году: организации данного сектора являются привлекательной мишенью для вымогательства, учитывая их крайне низкую устойчивость к простоям.

Чаще всего от вирусов-вымогателей страдает сфера производства

Злоумышленники развивают новые способы вымогательства денег у жертв. Одна из последних тактик заключается в том, чтобы максимизировать финансовый эффект от украденных данных. Вовлекая в схему клиентов и деловых партнёров, мошенники усиливают давление на взломанную организацию. Цель заключается в том, чтобы увеличить потенциальные затраты атакованной структуры.

«
Переход к обнаружению и активному реагированию позволил защитным средствам препятствовать действиям злоумышленников на более ранних этапах атак, что несколько сдерживало распространение программ-вымогателей. Однако злоумышленники постоянно ищут новые способы избежать обнаружения. Хорошей защиты уже недостаточно — компаниям необходимо внедрять упреждающую стратегию обеспечения безопасности, — отметил Чарльз Хендерсон (Charles Henderson), глава IBM Security X-Force.
»

В 2022 году энергетика занимала четвёртое место среди наиболее атакованных отраслей, поскольку сложившаяся макроэкономическая ситуация и кризис оказывают сильное влияние на мировую торговлю энергоресурсами. На энергетические организации Северной Америки приходилось 46% всех атак в данном секторе, что на 25% больше, чем в 2021 году.[6]

Почему хакеры-вымогатели начали просить на 28% меньше выкупа

21 февраля 2023 года обнародованы результаты исследования компании CrowdStrike, посвящённого изучению тенденций распространения программ-вымогателей. Сообщается, что в 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом.

Как сообщает газета The Wall Street Journal, ссылаясь на данные CrowdStrike, в 2022 году киберпреступники, занимающиеся распространением шифровальщиков, хотели получить от своих жертв в среднем $4,1 млн. Для сравнения: годом ранее размер выкупа составлял в среднем $5,7 млн. Такая ситуация объясняется несколькими причинами. Это, в частности, аресты членов хакерских группировок, падение стоимости криптовалют и усиление мер по борьбе с киберпреступностью в целом. Отмечается, что некоторые группы сетевых злоумышленников даже вынуждены сокращать штат из-за падения прибыли. В частности, киберпреступная команда Conti в 2022-м уволила 45 сотрудников из-за ухудшения своего финансового положения.

В 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом

В то же время американская компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила о том, что в 2022-м число киберинцидентов, связанных с программами-вымогателями сократилось в годовом исчислении приблизительно на 15%.

При этом количество атак программ-вымогателей на промышленные организации в 2022 году увеличились на 87% по сравнению с предыдущим годом, причём такие зловреды нацелены прежде всего на производственный сектор. Так, хакеры атаковали горнодобывающие компании в Австралии и Новой Зеландии, а также компании, работающие с возобновляемыми источниками энергии, в США и Европейском союзе. Злоумышленники всё чаще фокусируют внимание на секторах энергетики, продовольствия, водоснабжения и добычи природного газа.[7]

Число атак вирусов-вымогателей на мировую промышленность за год удвоилось

В 2022 году количество атак вирусов-вымогателей на промышленную инфраструктуру удвоилось. Об этом говорится в исследовании, которое в феврале 2023 года обнародовала компания Dragos, специализирующася на технологиях кибербезопасности.

Компания Dragos отследила более 600 атак вирусов-вымогателей на промышленную инфраструктуру в 2022 году, что на 87% больше, чем в 2021 году, причем почти три четверти из них были направлены на производственный сектор. По словам специалистов, хакеры все больше нацеливаются на операционные технологии (ОТ) и промышленные системы управления (ICS), которые управляют основными функциями заводов и других промышленных объектов. По данным Dragos, среди 600 с лишним атак, отслеженных компанией, на 35% увеличилось число попыток использования вымогательского ПО против OT и ICS.

Распределение атак по секторам экономики

По данным Dragos, чаще всего хакеры нападали на ресурсы горнодобывающих компаний Австралии и Новой Зеландии в 2022 году, а также американские и европейские компании, специализирующиеся на возобновляемых источниках энергии. Усилились атаки на секторы энергетики, продовольствия, водоснабжения, электроснабжения и природного газа. Одного вируса-вымогателя, по мнению ИБ специалистов Dragos, достаточно, чтобы нарушить работу десятков систем, помогающих в управлении инженерными сетями по всему миру, говорится в докладе.

В общей сложности, 437 производственных предприятий в 2022 году подверглись атакам вирусов-вымогателей, включая 42 атаки на компании по производству металлических изделий, 37 - на автомобильные предприятия и более 20 - на предприятия по производству пластмасс, промышленного оборудования, строительных материалов и электроники или полупроводников. Остальная часть списка включает десятки атак на компании, работающие в аэрокосмической отрасли, производстве мебели, косметики, химикатов, одежды, медицинского оборудования, бумаги.

Распределение атак по индустриям

Среди крупных инцидентов, перечисленных Dragos, крупные атаки были на компании Subex, Kojima, AGCO, Foxconn, South Staffordshire Water, DESFA и несколько атак на горнодобывающие и металлургические производства, такие как Copper Mountain Mining. Несмотря на рост числа инцидентов, связанных с вирусами-вымогателями, в 2022 году их жертвы намного реже платили выкуп: $456,8 млн по сравнению с $765,5 млн в 2021 году.

В 2022 году, по информации Dragos, лидировала группировка LockBit, совершившая 169 атак с целью выкупа, за ней следовали Conti, затем Black Basta, Alpha V (или ALPHV) и Hive. Компания Dragos обнаружила, что из 57 хакерских групп, за которыми она следит, 39 были активны в 2022 году, что на 30% больше, чем в 2021 году.[8]

Объем выкупа после атак вирусов-вымогателей в мире сократился на $300 млн

19 января 2023 года компания Chainalysis обнародовала данные исследования, согласно которым доход злоумышленников, распространяющих программы-вымогатели, в мировом масштабе в 2022-м сократился приблизительно на $300 млн.

В 2019 году операторы шифровальщиков получили от своих жертв примерно $174 млн в качестве выкупа. В 2020-м эта сумма резко выросла, достигнув $765 млн. В 2021 году, по оценкам, внедрение зловредов-вымогателей принесло киберпреступникам $765,6 млн, а в 2022-м — примерно $456,8 млн. Таким образом, падение за год составило 40,3%. Такая ситуация, по мнению экспертов, связана прежде всего с растущим нежеланием жертв платить злоумышленникам, а не с уменьшением фактического количества атак.

«
Данные по претензиям в индустрии киберстрахования показывают, что программы-вымогатели остаются растущей киберугрозой для бизнеса и предприятий. Однако есть признаки того, что сбои в деятельности групп лиц, занимающихся такими зловредами, приводят к меньшему, чем ожидалось, количеству успешных попыток вымогательства, — говорит директор компании Resilience Майкл Филлипс (Michael Phillips).
»

На снижение интенсивности выплат указывают и другие специалисты. Так, Билл Сигел (Bill Siegel) из Coveware сообщил, что в 2019 году вероятность выплаты выкупа жертвой программы-вымогателя находилась на отметке 76%. В 2020-м это значение снизилось до 70%, а в 2021-м — до 50%. В 2022 году зафиксировано дальнейшее сокращение — до 41%. Одной из причин столь значительного падения является то, что выплата выкупа стала более рискованной с юридической точки зрения, особенно после того, как в сентябре 2021 года Управление по контролю над иностранными активами (OFAC), входящее в состав Министерства финансов США, опубликовало документ о возможном наложении гражданско-правовых санкций на компании и организации в связи с выполнением требований вымогателей.[9]

Названы самые распространенные вирусы-вымогатели

5 января 2023 года подразделение SpiderLabs компании TrustWave обнародовало рейтинг самых распространённых программ-вымогателей, атаковавших различные организации и пользователей по всему миру в 2022 году.

Отмечается, что зловреды, шифрующие файлы жертвы с целью дальнейшего получения выкупа, остаются серьёзной угрозой. В случае успешной атаки злоумышленники требуют в среднем от $570 тыс. до $812 тыс. Кроме того, жертва может нести значительные сопутствующие расходы, связанные с простоем бизнеса, привлечением экспертов в области информационной безопасности и пр. В среднем одна из каждых 40 организаций становится мишенью программ-вымогателей.

LockBit (вирус-вымогатель)

На первом месте антирейтинга располагается зловред LockBit. Этот вымогатель атакует самые разные структуры — от крупных корпораций до государственных учреждений. Сообщается, что в 2022 году на долю LockBit пришлось примерно 44% всех успешных кибервторжений с требованием выкупа. Обновлённая версия LockBit, выпущенная в июне 2022-го, включает дополнительные функции, которые помогают обходить защитные средства и уменьшают вероятность расшифровка данных экспертами по ИТ-безопасности.

Вторая позиция досталась относительно новой киберкампании Black Basta. Отмечается, что она может иметь связи с другими группировками, такими как Conti, REvil и Fin7 (также известна как Carbanak). С момента идентификации в апреле 2022-го по сентябрь того же года Black Basta скомпрометировала более 90 организаций.

Замыкает тройку Hive. Эта вредоносная программа выделяется на фоне других вымогателей подходом к выбору жертв. Зловред нападает на организации из сфер здравоохранения, энергетики и сельского хозяйства. Некоторые группы программ-вымогателей стараются не атаковать критически важную инфраструктуру или основные службы по моральным соображениям или для того, чтобы привлечь меньше внимания правоохранительных органов. С другой стороны, Hive готова атаковать любые секторы и ИТ-системы.[10]

Сколько госучреждений, школ и больниц в США пострадали от вирусов-вымогателей

2 января 2023 года компания по кибербезопасности Emsisoft опубликовала результаты исследования, в ходе которого изучалась интенсивность атак программ-вымогателей на государственные и медицинские структуры, а также образовательные учреждения США.

В отчёте говорится, что в 2022-м от шифровальщиков пострадали 106 местных органов власти. Для сравнения: в 2021 году в этом секторе были отмечены 77 подобных инцидентов. По крайней мере, 27 атак в 2022 году обернулись кражей данных. Единственная подтверждённая выплата выкупа в госсекторе была произведена правительством Куинси (Массачусетс): за восстановление доступа к зашифрованной информации злоумышленникам удалось получить $500 000. При этом самым большим счётом, выставленным киберпреступниками, стала сумма в $5 млн в отношении госструктур Уит-Риджа (Колорадо), но те отказались платить.

Госучреждения Америки пострадали от атак вирусов-вымогателей

Согласно статистике, в 2022 году зафиксированы атаки вымогателей на 44 университета и колледжа США, а также на 45 школьных округов, которые управляют в общей сложности 1981 школой. Таким образом, общее количество атак на образовательный сектор составило 89, что соответствует уровню 2021 года, когда были зарегистрированы 88 нападений. Самым значительным инцидентом 2022-го стала атака на Объединённый школьный округ Лос-Анджелеса, который с более чем 1300 школами и 500 000 учащихся является вторым по величине округом в США. Как минимум три образовательные организации заплатили выкуп, самый крупный из которых составил $400 тыс.

Со зловредами-вымогателями также столкнулись 25 американских поставщиков медицинских услуг, оперирующих 290 больницами. Инциденты имели самые разные последствия, включая требования выкупа, принудительное изменение маршрута машин скорой помощи и передозировки лекарственных препаратов из-за неисправности компьютерных систем.[11]

Канадская меднорудная компания Copper Mountain Mining остановила заводы из-за атаки вируса-вымогателя

Канадская меднорудная компания Copper Mountain Mining остановила заводы из-за атаки вируса-вымогателя. Об этом она заявила 27 декабря 2022 года. Подробнее здесь.

У производителя игрушек Jakks Pacific заблокированы серверы после атаки кибервымогателей

У производителя игрушек Jakks Pacific заблокированы серверы после атаки кибервымогателей. Об этом компания уведомила американские власти в конце декабря 2022 года. Подробнее здесь.

Кибератака на порт Лиссабона, которая привела к отключению сайта

25 декабря 2022 года порт Лиссабон был атакован хакерами, в результате чего его сайт был отключен и не работал несколько дней. К 5 января 2023 года ресурс остается недоступным, в чем убедился журналист TAdviser. Подробнее здесь.

Распространяющие вирусы-вымогатели хакеры стали требовать гораздо меньше выкупа в России

Распространяющие вирусы-вымогатели хакеры стали требовать гораздо меньше выкупа в России. Об этом свидетельствуют данные компании «РТК-Солар», которые были обнародованы в ноябре 2022 года.

По словам ИБ-экспертов, величина выкупа за год сократилась более чем в 20 раз. Аналитик Positive Technologies Федор Чунижеков подтверждает тенденцию, но называет другие цифры. Во втором квартале 2022 года медианный размер выкупа составил около $36 тыс., что меньше показателей конца 2021 года на 51%. Стартап по киберстрахованию Coalition в своем отчете утверждает, что в первом полугодии 2022 года злоумышленники предлагали их клиентам платить в среднем $896 тыс., что на треть меньше, чем в конце 2021 года.

Выкуп данных для жертв кибератак с помощью шифровальщиков в России снизился в 20 раз

Участники рынка связывают эту тенденцию с ужесточением требований регуляторов к реагированию бизнеса на подобные инциденты, а также с относительно невысокой стоимостью услуг расследователей происшествий.

1 сентября 2022 года согласно закону «О персональных данных» организации, обрабатывающие информацию о пользователях, при утечке обязаны в течение 24 часов уведомить о происшествии Роскомнадзор, а в течение 72 часов предоставить результаты внутреннего расследования.

«
Важно понимать, что, привлекая компанию на расследование, заказчик получает информацию о том, как злоумышленники проникли в сеть, какими уязвимостями воспользовались, и может закрыть этот путь, — подчеркнул директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков.
»

При этом сообщается, что себестоимость таких атак мошенников остается, поэтому они могут оставаться прибыльными. Эксперты отмечают, что в России остается ряд группировок, которые занимаются мошенническими действиями, а их доход составляет около 1 млрд рублей.[12]

Министерство обороны Австралии подверглось кибератаке. Утекли данные десятков тысяч военнослужащих

31 октября 2022 года стало известно о том, что Министерство обороны Австралии подверглось хакерской атаке: злоумышленники внедрили в одну из информационных подсистем ведомства вредоносную программу с функциями вымогателя. Говорится, что в руках преступников могла оказаться персональная информация о десятках тысяч военнослужащих. Подробнее здесь.

Банки в США за год заплатили $1,2 млрд выкупа после атак вирусов-вымогателей

1 ноября 2022 года Агентство по борьбе с финансовыми преступлениями США (FinCEN), входящее в состав Министерства финансов, раскрыло масштабы выплат, которые банки страны осуществили в результате атак программ-вымогателей. Общая сумма превышает $1 млрд. Подробнее здесь.

Немецкий поставщик оружия для Украины подвергся кибератаке. Его данные украдены

30 октября 2022 года киберпреступная группировка, стоящая за распространением шифровальщика Snatch, сообщила о взломе и краже данных компании Hensoldt France, французского подразделения немецкой Hensoldt Group. Подробнее здесь.

Крупный британский девелопер заплатит миллионы за утечку данных 113 тыс. сотрудников

В конце октября 2022 года британская строительная компания Interserve была оштрафована на $5 млн регулятором по защите данных после того, как группа хакеры получили доступ к конфиденциальным данным 113 тыс. сотрудников. Подробнее здесь.

Вымогатели из группы OldGremlin поставили рекорд года по сумме требуемого выкупа

Компания Group-IB выпустила аналитический отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", посвященный русскоговорящей хакерской группировке вымогателей. Об этом стало известно 20 октября 2022 года. Всего за два с половиной года «гремлины», по данным Group-IB, провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. Второй год подряд вымогатели бьют рекорд: если в 2021 году группа требовала у жертвы 250 000 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб. На октябрь 2022 года известно, что OldGremlin атакует исключительно российские цели, однако аппетиты группировки потенциально могут иметь более широкую географию.

Несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: количество кибератак вымогателей на российские компании увеличилось более чем на 200%.

Активность OldGremlin (aka TinyScouts) была впервые замечена аналитиками Group-IB Threat Intelligence в марте 2020 года и подробно описана в сентябре 2020 года в блоге «Большая охота OldGremlin: операторы шифровальщика атакуют крупные компании и банки России».

Самым насыщенным для «гремлинов» оказался 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — якобы от сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и др.

Рассылки «гремлинов» четко нацелены на определенные отрасли. Среди их жертв — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.

По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 млрд руб. В отличии от других групп вымогателей — участников «Big Game Hunting» — охоты на крупную цель, «гремлины» после проведения успешной атаки могут позволить себе длительные отпуска.

Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.

Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux. Атакующие следят за последними тенденциями в мире кибербезопасности и «миксуют» уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.

В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.

В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.

Image:гремлины 16 атак.png
«
По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — заметил Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели. Публикуя первый аналитический отчет, посвященный этой группе мы ставим себе цель предупредить специалистов по кибербезопасности об этой угрозе и дать им возможность принять превентивные меры для ее предотвращения.
»

Как и всегда, отчет Group-IB открывает доступ к набору данных и подробной информации об актуальных техниках, тактиках и процедурах атакующих (TTPs), описанных на основе MITRE ATT&CK. Эти сведения будут полезны как организациям, которые борются с киберпреступностью, и в частности, руководителям команд кибербезопасности, SOC-аналитикам, специалистам по реагированию на инциденты, так и потенциальным жертвам для того, чтобы обезопасить свою инфраструктуру от новых атак OldGremlin.

Хакеры Ransom Cartel используют инструменты и исходный код шифровальщика REvil

19 октября 2022 года стало известно о подозрительной связи RaaS-группировки Ransom Cartel и REvil заявили исследователи из подразделения Unit 42 компании Palo Alto Networks. Согласно их отчету, Ransom Cartel начала свою деятельность всего через два месяца после развала REvil.

По словам специалистов Unit 42, когда Ransom Cartel только появилась, было неясно чем она является – REvil под другим названием или никак не связанной с REvil группировкой, которая просто подражает печально известной банде хакеров.

Но когда Ransom Cartel начала использовать определенный набор инструментов, все начало вставать на свои места. Эксперты рассказали, что группировка использует не только популярные среди вымогателей тактики, но и необычные инструменты (например, DonPAPI, который ранее не применялся в атаках вымогателей).

Исследователи отмечают, что у операторов Ransom Cartel есть доступ к исходному коду шифровальщика REvil, но они не имеют в своем арсенале механизм обфускации, который используется для шифрования строк и скрытия вызовов API.

Опираясь на все вышесказанное, специалисты сделали вывод, что Ransom Cartel активно сотрудничала с REvil до того, как стала полноценной группировкой.

В заключении отчета Unit 42 предупреждает о возможном росте атак с использованием [зловред|вредоносов]] от Ransom Cartel и призывает большие компании установить специальное защитное ПО, так как группировка нацелена именно на "крупную добычу"[13].

Центр анализа угроз Microsoft заявил о кибератаке на транспортные фирмы Украины и Польши

11 октября 2022 года транспортные и логистические компании Польши и Украины подверглись атаке нового вируса-вымогателя Prestige. Об этом заявили в Центре анализа угроз Microsoft (MSTIC).

«
Центр анализа угроз Microsoft (MSTIC) выявил доказательства новой кампании, связанной с программой-вымогателем, целями которой являются организации в сфере транспорта и смежных логистических отраслях на Украине и в Польше, - указано в сообщении компании Microsoft.
»

Программа Prestige шифрует данные жертвы и оставляет записку с требованием выкупа, в которой говорится, что данные можно разблокировать только при покупке специального инструмента для расшифровки.

Корпорация Microsoft ранее не сталкивалась с такой программой и пока не смогла выявить причастность к атаке известных кибергрупп[14].

Производителя карт памяти Adata атаковали хакеры. Они украли секретные данные

4 октября 2022 года группировка RansomHouse сообщила о взломе компании Adata, которая специализируется на выпуске оперативной памяти, твердотельных накопителей, портативных жёстких дисков, флеш-брелоков и пр. Подробнее здесь.

Повреждение данных может заменить традиционные атаки программ-вымогателей

Группировка BlackCat обновила свое ПО для кражи данных Exmatter и добавила обновленную функцию повреждения данных, кардинально изменив тактику атак аффилированных лиц. Об этом стало известно 26 сентября 2022 года.

Иллюстрация:securitylab.ru

Данный образец был обнаружен аналитиками из ИБ-компании Cyderes, а затем передан группе исследования угроз Stairwell для дальнейшего анализа. Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, но это первый раз, когда Exmatter был замечен с модулем уничтожения данных.

Эксперты из Cyderes заявили, что по мере того, как файлы загружаются на сервер злоумышленника, они ставятся в очередь для обработки классом Eraser. Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл.

Иллюстрация:securitylab.ru

Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть попыткой уклониться от обнаружения или эвристического анализа. Как обнаружили исследователи угроз Stairwell, возможности уничтожения данных Exmatter все еще находятся в разработке, учитывая следующее:

  • У Exmatter не существует механизма для удаления файлов из очереди, то есть некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны для обработки;
  • Функция, которая создает экземпляр класса «Erase», реализована не полностью и декомпилируется неправильно. Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт.

Исследователи считают, что обновленная функция повреждения данных может заменить традиционные атаки программ-вымогателей, когда данные крадут, а затем шифруют, на атаки, при которых данные крадут, а затем удаляют или повреждают. Этот метод, в отличие от RaaS-модели, позволяет хакеру забрать себе весь доход, полученный от атаки, поскольку ему не нужно делиться процентом с разработчиком шифровальщика.

При обычном шифровании у злоумышленников есть риск того, что жертва найдет способ расшифровки данных и не заплатит выкуп. Уничтожение конфиденциальных данных после их эксфильтрации на сервер хакера предотвратит это и послужит дополнительным стимулом для жертв платить выкуп, а также отсутствие этапа шифрования ускоряет процесс атаки.

Эти факторы приводят к тому, что аффилированные лица отказываются от RaaS-модели в пользу программ-вымогателей, которые просто уничтожают данные[15].

Серверы Microsoft SQL накрыла мощная волна атак с использованием вирусов-вымогателей

В конце сентября 2022 года стало известно о том, что серверы Microsoft SQL накрыла мощная волна атак с использованием вирусов-вымогателей. Злоумышленники применяют вредоносные программы под названием Fargo и GlobeImposter. Подробнее здесь.

Вторая по величине сеть школ в США атакована вирусом-вымогателем. Инфраструктура сильно пострадала

6 сентября 2022 года стало известно, что хакеры при помощи вируса-вымогателя совершили кибератаку на объединенный школьный округ Лос-Анджелеса, являющийся вторым по величине школьным округом в США. Подробнее здесь.

Обнаружены кибергруппы вымогателей, способные атаковать разные операционные системы одновременно

«Лаборатория Касперского» сообщила 25 августа 2022 года об обнаружении двух кибергрупп вымогателей. Они могут атаковать разные операционные системы одновременно без обращения к мультиплатформенным языкам. Ранее в 2022 году эксперты «Лаборатории Касперского» рассказали, как создатели программ-вымогателей развивают их кросс-платформенные возможности. Однако на этот раз речь идёт о ПО, которое написано на простых языках, но также может атаковать разные системы.

Иллюстрация:securelist.com

Первая из данных групп использует зловред RedAlert, написанный на языке C. Вторая, обнаруженная в июле 2022 года, — зловред Monster, написанный на Delphi. Отличительная черта Monster — графический пользовательский интерфейс. Такой компонент никогда не внедрялся вымогателями раньше. Авторы Monster включили его в качестве дополнительного параметра командной строки.

Также злоумышленники используют для атак программ-вымогателей на Windows версий от 7 до 11 эксплойты первого дня. Это программы, которые эксплуатируют уязвимости в программных продуктах, для которых уже были выпущены патчи. Один из примеров — уязвимость CVE-2022-24521. Она позволяет получать привилегии в системе на заражённом устройстве. Через две недели после создания патча для этой бреши атакующие разработали два других эксплойта, которые поддерживают разные версии Windows.

«
Компания уже привыкла к тому, что авторы программ-вымогателей стали создавать их с помощью кросс-платформенных языков. Однако в 2022 году они научились писать вредоносный код для атак на разные операционные системы ещё и на простых языках программирования. Актулальные тренды развития индустрии шифровальщиков требуют от компаний повышенного внимания к тому, приняты ли эффективные меры для обнаружения и предотвращения таких атак. Кроме того, очень важно регулярного обновлять всё ПО,
прокомментировал Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».
»

Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:

  • не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей без строгой необходимости; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
  • своевременно устанавливать доступные патчи для используемых в сети коммерческих VPN-решений;
  • регулярно обновлять ПО на всех используемых устройствах;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • регулярно делать резервные копии данных и проверять, что в случае необходимости можно быстро получить к ним доступ;
  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
  • проводить обучение сотрудников правилам кибербезопасности;
  • использовать надёжное защитное решение. В нём есть функции предотвращения эксплойтов, модуль поведенческого детектирования и движок для отката вредоносных действий. Также в решении есть механизмы самозащиты, которые позволяют предотвратить его удаление злоумышленниками;
  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах.

Греческий оператор газотранспортной системы атакован вирусом-вымогателем. ИТ-системы отключены

В конце августа 2022 года стало известно о том, что оператор греческой национальной газотранспортной системы DESFA атакован вирусом-вымогателем. ИТ-системы компании оказались отключены. Оператор управляет как системой транспортировки природного газа в стране, так и газораспределительными сетями. Подробнее здесь.

Хакеры остановили ИТ-системы британской водоснабжающей компании и отключили воду жителям

Британская компания South Staffordshire Water, которая поставляет 330 млн литров пригодной для питья воды 1,6 млн клиентам в сутки, 16 августа 2022 года выпустила сообщение, в котором подтвердила нарушение в работе ИТ-систем вследствие кибератаки. Подробнее здесь.

Американский производитель одежды и нижнего белья HanesBrands потерял $100 млн из-за кибератаки

Американский производитель одежды и нижнего белья HanesBrands потерял $100 млн в продажах из-за кибератаки. Об этом стало известно 11 августа 2022 года. Компания подверглась атаке программ-вымогателей в мае. Подробнее здесь.

Закрытие магазинов 7-Eleven в Дании из-за атаки вируса-вымогателя

В начале августа 2022 года 7-Eleven в Дании была вынуждена закрыть 175 магазинов. Как сообщили представители торговой сети, это произошло из-за атаки вируса-вымогателя. Подробнее здесь.

Вирус-вымогатель заблокировал системы британского минздрава

11 августа 2022 года стало известно,что системы крупного поставщика ИТ-услуг Advanced, который обеспечивает такие цифровые услуги, как регистрация пациентов и NHS 111, были заблокированы в результате кибератаки с использованием вымогательского ПО. Компания сообщила, что на полное восстановление может потребоваться от трех до четырех недель. Подробнее здесь.

Корпоративную сеть Cisco взломали голосовыми фишинговыми атаками. Украдено 2,8 Гбайт данных

10 августа 2022 года компания Cisco дала подтверждение, что группа вымогателей Yanluowang проникла в ее корпоративную сеть в конце мая 2022 года и вымогала деньги под предлогом утечки украденных файлов в Интернет. Подробнее здесь.

Хакеры украли 78 Гбайт данных итальянской налоговой

25 июля 2022 года стало известно, что группа хакеров смогла выкрасть при помощи программы-вымогателя данные из итальянской налоговой. Группировка утверждает, что украла 78 Гб данных, включая документы компании, сканы, финансовые отчеты и контракты, она планирует опубликовать скриншоты файлов и образцы в течение августа 2022 года. Подробнее здесь.

Число атак программ-вымогателей на медорганизации США увеличилось на 94%

15 июля 2022 года стало известно о том, что с 2021 года больницы по всей территории США стали мишенью агрессивной кампании программ-вымогателей, исходящей из Северной Кореи. Об этом заявили власти США. Подробнее здесь.

Вымогательское ПО HavanaCrypt маскируется под обновление Google

Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Об этом стало известно 12 июля 2022 года. Вредоносное ПО использует open source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».

«
Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине, — пишут исследователи.
»

По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:

  • проверяет службы в виртуальной машине (VMware Tools и vmmouse);
  • ищет файлы, связанные с приложениями ВМ;
  • ищет имена файлов, используемых ВМ для их исполняемых файлов;
  • просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.

Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.

Вредоносная программа прерывает более 80%, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.

Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.

HavanaCrypt собирает следующую информацию о системе:

Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам.

«
HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки, - заключили исследователи[16].
»

Шифровальщик Hive окончательно перешел на Rust и стал опаснее

WIndows-версия вредоноса получила «апгрейд», который усложнил шифрование и сделал Hive еще быстрее и надежнее. Об этом стало известно 8 июля 2022 года.

В своем недавнем отчете специалисты из Microsoft Threat Intelligence Center назвали Hive одним из самых быстро развивающихся семейств вымогательского ПО. В последнем обновлении разработчики Hive полностью изменили инфраструктуру шифровальщика. Самыми главными изменениями стал переход с GoLang на Rust и усложнение методов шифрования.

Источник иллюстрации: securitylab.ru

Перейдя на Rust, вредонос получил несколько преимуществ:

  • Безопасность по памяти, типам данных и потокам;
  • Многопоточность;
  • Устойчивость к реверс-инжинирингу;
  • Полный контроль над низкоуровневыми ресурсами;
  • Широкий выбор криптографических библиотек.

Кроме этого, разработчики добавили Hive парочку `полезных` фич. Теперь вымогательское ПО использует функции, завершающие службы и процессы, связанные с решениями безопасности, а также способен построчно шифровать свой код, в качестве меры противодействия анализу.

Метод шифрования у обновленного Hive стал намного интереснее. Вместо того, чтобы встраивать зашифрованный ключ в каждый шифруемый файл, вредонос генерирует в памяти два набора ключей, использует их, после чего записывает с расширением .key в корневой каталог диска.

Чтобы определить, какой из двух ключей используется для блокировки конкретного файла, зашифрованный файл переименовывается – к нему добавляется имя .key-файла, знак подчеркивания и строка в кодировке Base64, указывающая на два разных блока данных в key-файле. Итоговый результат может выглядеть вот так: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.

Апгрейд Hive, окончание вымогательской деятельности AstraLocker и появление RedAlert – все это говорит о том, что ландшафт киберугроз постоянно меняется и ИБ-специалистам нужно оставаться начеку.

Один хакер может причинить столько же вреда, сколько 10 000 солдат[17].

Британский ювелирный бренд выплатил хакерам $7,5 млн в качестве выкупа после атаки вируса-вымогателя

В начале июля 2022 года стало известно отом, что британская ювелирная компания Graff Diamonds заплатила $7,5 млн выкупа в биткоинах хакерской группировке после утечки данных о высокопоставленных клиентах компании. Об этом говорится в судебных материалах, на которые ссылается Bloomberg. Подробнее здесь.

«Лаборатория Касперского» опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков

«Лаборатория Касперского» 24 июня 2022 года опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков.

В основу исследования легли данные за период с октября 2021 года по март 2022 года. Данное исследование показало, что различные семейства этого вида ПО совпадают более чем на половину в своих TTPs на протяжении всех этапов цепочки атак Сyber Kill Chain (данная цепочка атак показывает, какие этапы должен пройти злоумышленник, чтобы достигнуть своей цели).

В исследовании представлены данные об активности Conti/Ryuk (заявила о приостановке деятельности в мае 2022 года), Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Эти группы ведут свою деятельность по всему миру, в том числе в США, Великобритании, Германии. С марта 2021-го по март 2022 года операторы этих групп пытались атаковать более 500 организаций в разных отраслях, среди которых промышленность, разработка ПО, строительство.

В отчёте рассказывается обо всех этапах атаки, излюбленных TTPs злоумышленников и преследуемых ими целях, а также о методах защиты от целенаправленных атак вымогателей. Также он включает правила обнаружения SIGMA, которые могут использовать специалисты SOC.

Проанализировав, какие техники и тактики, собранные в MITRE ATT&CK (база знаний, содержащая таксономию действий, применяемых злоумышленниками в ходе кибератаки), применяют известные группы, эксперты нашли много сходства среди TTPs на протяжении всех этапов цепочки Cyber Kill Chain. Сходство между атаками прослеживается в следующем:

  • активно используется партнёрская модель Ransomware-as-a-Service (RaaS), когда создатели шифровальщика не сами доставляют вредоносное ПО на устройство, а только предоставляют сервисы шифрования данных. Многие атакующие используют готовые шаблоны или инструменты автоматизации;
  • повторно используются старые и похожие инструменты. Это сокращает время подготовки к атаке;
  • повторно используются распространённые тактики, техники и процедуры, что облегчает процесс взлома. Детектировать эти техники возможно, но сделать это превентивно по всем возможным векторам угроз гораздо сложнее;
  • компании недостаточно оперативно устанавливают обновления и патчи, что облегчает атакующим доступ к их инфраструктуре.

Это глобальное исследование находится в открытом доступе и помогает понять, как действуют данные группы и как защититься от подобных атак.

«
В последние годы программы-вымогатели — главный кошмар всей отрасли кибербезопасности. Операторы вредоносного ПО постоянно совершенствуют свои инструменты, и изучать все группы шифровальщиков, эволюцию их деятельности — трудоёмкий и сложный процесс даже для опытных аналитиков. Мы с гордостью представляем результаты большой аналитической работы, основанной на тщательном наблюдении за наиболее активными группами. Наш отчёт даёт подробную картину этого вида угроз и, надеемся, сможет облегчить работу всех специалистов по кибербезопасности, — сказал Никита Назаров, руководитель группы сервисов Threat Intelligence.
»

Зарплаты, отпуска, система мотивация и отдел кадров. Как работает одна из крупнейших в мире хакерских группировок-вымогателей

23 июня 2022 года в российской компании Group-IB, специализирующейся на обеспечении информационной безопасности, рассказали о деятельности хакерской группировки Conti, которая занимается распространением вирус-вымогателей. Подробнее здесь.

Вымогательское ПО Magniber угрожает миллионам пользователей Windows 11

30 мая 2022 года стало известно, что аналитики 360 Security Center обнаружили очередную версию вымогательского ПО Magniber, нацеленную на системы под управлением Windows 11. По словам специалистов, 25 мая объем атак с использованием Magniber значительно возрос. Подробнее здесь.

Вымогатели Goodwill требуют от жертв совершить три добрых поступка

23 мая 2022 года стало известно, что в среде кибервымогателей, похоже, появился свой «Робин Гуд». Как сообщают специалисты компании CloudSEK, вымогательское ПО атакует жертв и вместо выкупа требует сделать пожертвование на благотворительность.

Иллюстрация: kaspersky.ru

Вымогательская программа Goodwill Ransomware требует у своих жертв перевести деньги организациям, которые помогают неимущим. На конец мая 2022 года Goodwill Ransomware атакует жертв только в Индии, Пакистане и некоторых регионах Африки.

Исследователи CloudSEK обнаружили данную кибервымогательскую группировку в марте 2022 года. Похоже, ее мало интересует финансовая выгода, а главной целью является восстановление социальной справедливости.

Для того чтобы получить ключ для восстановления зашифрованных файлов, жертва должна выполнить три задания. Первое задание - перевести деньги нуждающимся в больницах, кому требуется срочное лечение. Жертва должна перевести средства, зафиксировать весь процесс передачи денег и дальнейшее лечение больного и переслать эти видео- и аудиофайлы вымогателям.

Второе задание - передать бедным одежду. Как и в первом случае, факт передачи должен быть зафиксирован, а материалы отправлены хакерам по электронной почте.

Третье задание - жертва должна сводить голодных детей в пиццерию Dominos Pizza Hut или KFC и оплатить их заказ. Все должно быть зафиксировано и отправлено хакерам.

Кроме того, жертва должна сделать публикацию в соцсети (Facebook (признана экстремистской организацией и запрещена в России) или Instagram (признана экстремистской организацией и запрещена в России)) о том, как «став жертвой вымогательского ПО Goodwill, она стала добрым человеком».

Проверив публикации и присланные жертвой доказательства выполнения всех трех заданий, вымогатели отправляют ей ключ для восстановления файлов, пароль и видеоинструкцию по расшифровке.

С апреля 2022 года группировкой интересуются правоохранительные органы Индии. Согласно их версии, Goodwill - незначительная группа хакеров из КНДР.[18]

Средний запрашиваемый выкуп операторов шифровальщиков достиг $247 000

Компания Group-IB 19 мая 2022 года поделилась отчетом, посвященным одной из опасных угроз для бизнеса и госсектора во всем мире – шифровальщикам. В данном отчете «Программы-вымогатели 2021-2022» названы самые агрессивные операторы шифровальщиков, совершившие наибольшее число кибератак в мире: это группы LockBit, Conti и Pysa. Запрашиваемые злоумышленниками суммы выкупа достигли огромных величин: средний размер требуемого выкупа составил $247 000. В России количество реагирований Лаборатории цифровой криминалистики Group-IB на атаки программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года.

Исследовав более 700 атак в 2021 году, эксперты Group-IB, выяснили, что основные цели вымогателей по-прежнему приходятся на Северную Америку, Европу, Латинскую Америку, Азиатско-Тихоокеанский регион. Среди нашумевших инцидентов 2021 года с участием шифровальщиков можно отметить нападения на концерн Toshiba, американскую трубопроводную систему Colonial Pipeline, крупнейшего производителя мяса JBS Foods, и ИТ-гиганта Kaseya. Рекорд по жадности поставили вымогатели из Hive: они потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн. Среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней.

В 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200%. Наиболее активными в России оказались операторы шифровальщиков Dharma, Crylock, Thanos. А вот русскоязычная группа OldGremlin хотя в 2021 году заметно снизила свою активность — хакеры провели всего одну массовую рассылку (для сравнения: в 2020 году их было 10), однако атака оказалась настолько успешной, что кормила `гремлинов` весь год. Например, у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей.

В последнее время шифровальщики нацелены в России исключительно на крупный бизнес — от 5000 сотрудников — из отраслей строительства, страхования, агропромышленного комплекса.

Последней тенденцией, согласно исследованию «Программы-вымогатели 2021-2022», стал отход на второй план шифрования, как инструмента давления на жертву. Теперь у компаний-жертв вымогают средства, угрожая выложить их конфиденциальные данные в публичный доступ на так называемые DLS (Dedicated Leak Site). В 2021 году этим методом пользовалось подавляющее большинство шифровальщиков — 63%.

Как отмечала Group-IB в отчете Hi-Tech Crime Trends H2 2020/ H1 2021, использование вымогателями DLS для давления на жертву, чтобы заставить ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе, достигло пика именно в 2021 году. Число новых DLS выросло более, чем вдвое — с 13 до 28, при этом количество выложенных данных компаний за год увеличилось на беспрецедентные 935% — с 229 жертв до 2 371. При этом атакующие стали гораздо быстрее добиваться своих целей: если раньше среднее время нахождения шифровальщиков в сети жертвы составляло 13 дней, то в 2021 году оно сократилось до 9.

Еще одной тенденций 2021 года стал «ребрендинг»: группы вымогателей сменили названия. Этим «маркетинговым» инструментом операторы шифровальщиков стали пользоваться в ответ на повышенное внимание к ним со стороны исследователей и правоохранительных органов. После того как DarkSide и REvil исчезли из публичного пространства, на сцене появился игрок – BlackMatter, затем его сменил BlackCat. Чуть ранее, весной группа DoppelPaymer переименовала свои программы-вымогатели в Grief (Pay OR Grief).

Как и в 2020 году, самым частым способом получения первоначального доступа в сети компаний стала компрометация публичных RDP-серверов. На этот вектор атаки приходится почти половина (47%) всех исследованных инцидентов — многие из сотрудников по-прежнему работали на удаленке. На втором месте — фишинг (26%), на третьем — эксплуатация общедоступных приложений (21%).

В 2021 году некоторые операторы шифровальщиков стали «работать» через 0-day (англ. zero day) — неустранённые или еще не выявленные уязвимости, которые используют атакующие. Так, партнеры REvil атаковали тысячи клиентов Kaseya, эксплуатируя уязвимости 0-day в серверах VSA. Другой пример — группировка FIN11, стоящая за шифровальщиком Clop эксплуатировала ряд уязвимостей нулевого дня в устаревшем средстве для передачи файлов Accellion File Transfer Appliance (FTA).

Если в 2020 году отдельные вредоносные боты (Emotet, Qakbot, IcedID) были закреплены за определенными участниками партнерских программ шифровальщиков, то в 2021 году атрибуция стала не столь очевидной. Например, IcedID использовали для получения первоначального доступа в сети компаний несколько участников партнерских программ шифровальщиков — Egregor, REvil, Conti, XingLocker, RansomExx.

А вот партнеры вымогателя Ruyk для первоначального доступа в сети жертвы использовали бот BazarLoader и в весьма экзотической схеме. Он распространялся не только через фишинг — рассылку спам-писем о платных подписках, но и через вишинг. Во время телефонного разговора злоумышленники обманом заставляли жертву посетить подложный сайт и давали инструкции о том, как скачать и открыть вредоносный документ, который скачивал и запустил BazarLoader.

Наиболее популярным инструментом у вымогателей для пост-эксплуатации ожидаемо оказался Cobalt Strike — он был замечен в 60% исследованных атак шифровальщиков. Тем не менее, некоторые злоумышленники начали экспериментировать с менее распространенными фреймворками, чтобы снизить вероятность обнаружения. К примеру, группировка TA551 экспериментировала с доставкой вредоносного программного обеспечения на основе кроссплатформенного фреймворка Sliver.

«
В 2021 году киберугроза №1 впервые получила серьезный отпор — начались аресты участников преступных групп, часть вымогателей вынуждены были залечь «на дно» или замести следы, проводя ребрендинг, — сказал Олег Скулкин, руководитель Лаборатории цифровой криминалистики Group-IB. — Однако, несмотря на некоторую обеспокоенность киберпреступного сообщества, атаки представителей других партнерских программ продолжаются — так что говорить о закате шифровальщиков пока еще рано. Почти 70% инцидентов, над расследованием которых работает наша Лаборатория, приходятся на атаки с использованием программ-вымогателей и мы полагаем эта тенденция сохранится и в текущем году.
»

В Коста-Рике объявлен режим ЧС из-за масштабной хакерской атаки. Министерства не могут работать

12 мая 2022 года правительство Коста-Рики объявило чрезвычайное положение после того, как хакеры-вымогатели нанесли ущерб компьютерным сетям нескольких государственных учреждений, включая Министерство финансов. Подробнее здесь.

Panasonic снова атаковал вирус-вымогатель. База данных на 2,8 Гб украдена

11 апреля 2022 года японский технологический гигант Panasonic подтвердил, что его канадское подразделение подверглось кибератаке. Это произошло менее чем через полгода после того, как в ноябре 2021 года компания стала жертвой хакеров. Подробнее здесь.

Эксперты вычислили скорость шифрования файлов десяти вымогательских семейств

24 марта 2022 года стало известно, что исследователи компании Splunk провели эксперимент, в ходе которого протестировали десять вымогательских программ с целью установить, как они шифруют файлы, и как быстро нужно реагировать на их атаки.

Программа-вымогатель – вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает подходящие для шифрования, а затем шифрует, из-за чего они становятся недоступными без соответствующего ключа дешифрования.

Скорость шифрования файлов вымогательским ПО имеет большое значение для команд реагирования на угрозы. Чем быстрее его удастся обнаружить, тем меньший ущерб оно причинит, и подлежащих восстановлению данных будет меньше.

Исследователи Splunk провели 400 тестов с использованием десяти различных вымогательских семейств, по десять программ в каждом семействе, на четырех различных хостах Windows 10 и Windows Server 2019 с разной производительностью.

В ходе тестирований специалисты определили скорость шифрования 98 561 файла общим объемом 53 ГБ с помощью различных инструментов, таких как Windows logging, Windows Perfmon statistics, Microsoft Sysmon, Zeek и stoQ.

Общее среднее время для всех ста программ-вымогателей на тестовых установках составило 42 минуты 52 секунды. Однако, как показано в представленной ниже таблице, некоторые образцы значительно отклонялись от этого медианного значения.

Иллюстрация: securitylab.ru

Одним из достаточно быстрых и опасных оказалось семейство вымогателей LockBit, которому удалось зашифровать все файлы в среднем всего за 5 минут 50 секунд. Представитель семейства шифровал файлы со скоростью 25 тыс. в минуту.

Ранее вымогательское ПО Avaddon зашифровало файлы за 13 минут, REvil - за 24 минуты, а BlackMatter и Darkside - за 45 минут. А вымогатель Conti отстает от них - на шифрование 53 ГБ данных у него ушел почти час. Среди отстающих также оказались Maze и PYSA, которым потребовалось целых два часа.[19]

Вымогательское ПО LokiLocker оснащено функциями вайпера

Вымогательское ПО LokiLocker оснащено функциями вайпера. Об этом стало известно 17 марта 2022 года.

Вредонос атакует пользователей по всему миру, но больше всего жертв насчитывается в Восточной Европе и Азии.

Предположительно разработанный иранскими хакерами вымогатель LokiLocker был впервые обнаружен в середине августа 2021 года. Как отмечают исследователи, его не следует путать со старой программой-вымогателем Locky или инфостилером LokiBot. Вредонос имеет схожие черты с вымогательским ПО LockBit (значения реестра, имя файла с требованием выкупа), но непохоже, чтоб он был его прямым «наследником».

LokiLocker распространяется по бизнес-модели «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS) в очень узком кругу тщательно отобранных партнеров.

Исследователи все еще пытаются определить происхождение LokiLocker. Встроенная строка отладки написана на английском языке практически без ошибок, характерных для программ, написанных русскими или китайскими хакерами. Некоторые самые ранние партнеры LokiLocker имеют имена пользователей, зарегистрированные исключительно на иранских хакерских каналах. Кроме того, он содержит список стран, в которых нельзя атаковать пользователей, и одной из них является Иран.

Вредонос написан на .NET и защищен с помощью коммерческого инструмента NETGuard.

Ранние версии LokiLocker распространялись через взломанные хакерские инструменты для брутфорса, в том числе PayPal BruteCheck, Spotify BruteChecker, PiaVNP Brute Checker от ACTEAM и FPSN Checker от Angeal. Вероятно, вредонос распространялся через эти инструменты, когда находился на этапе бета-тестирования.

Как и остальные программы-вымогатели, LokiLocker шифрует атакуемые системы и дает жертве время на уплату выкупа. Если по истечении отведенного срока выкуп не будет уплачен, вредонос может стереть все данные с жестких дисков, кроме системных файлов. Кроме того, он попытается перезаписать главную загрузочную запись, чтобы вывести систему из строя[20].

Производителя автозапчастей Denso атаковал вирус-вымогатель. У него украдено 1,4 Тбайт коммерческих данных

В начале марта 2022 года производителя автозапчастей Denso атаковал вирус-вымогатель, в результате чего у компании была похищена коммерческая информация на 1,4 Тбайт, среди которой более 157 тыс. заказов на поставку, электронных писем и др. Подробнее здесь.

2021

Число компаний, заплативших более $1 млн хакерам-вымогателям увеличилось в 3 раза

Согласно исследованию разработчика ИБ-решений Sophos, в 2021 году около 66% организаций подверглись атаке вымогательского ПО по сравнению с 37% в 2020 году. И 65% этих атак были успешными в плане шифрования данных своих жертв, по сравнению с 54% в 2020-м, говорится в отчете.

По данным британской компании по кибербезопасности, средний размер выкупа, выплачиваемого организациями за наиболее значительные атаки с использованием выкупного ПО, вырос почти в пять раз и составил чуть более $800 тыс., а число организаций, выплативших выкуп в размере $1 млн и более, по итогам 2021 года утроилось и достигло 11%.

Число компаний, заплативших более $1 млн хакерам-вымогателям, за год утроилось

Честер Вишневски, главный научный сотрудник Sophos, говорит, что стоимость вымогательских программ не только продолжает расти, но все большее число жертв решают заплатить, даже когда у них есть другие варианты.

46% опрошенных, которые сообщили, что их данные были заблокированы в результате атаки, заявили, что заплатили выкуп, чтобы получить свои данные обратно, а 26% заявили, что заплатили выкуп, хотя могли бы восстановить их самостоятельно с помощью резервных копий.

По словам Висневски, причин этому может быть несколько, включая неполное резервное копирование или желание уберечь данные компании от публикации в Интернете.

«
Организации не знают, что могли сделать злоумышленники, например, добавить бэкдоры, скопировать пароли и многое другое, - говорится в заявлении Висневски. Если организации не проведут тщательную очистку восстановленных данных, они окажутся со всем этим потенциально токсичным материалом в своей сети и могут подвергнуться повторной атаке.

»

Кроме того, после атаки вируса-вымогателя часто возникает острая необходимость как можно быстрее восстановить работоспособность, а восстановление из резервных копий часто может быть сложным и отнимать много времени, сказал Висневски. Но хотя платить киберпреступникам за ключ дешифровки может быть заманчивой идеей, это также рискованно.[21]

Выплата выкупа при атаках вирусов-вымогателей достигла нового рекорда

30 марта 2022 года ИБ-компанией Palo Alto Networks было опубликовано исследование, согласно которому в 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, поскольку киберпреступники все чаще обращались к «сайтам утечек» в даркнете, где они вынуждали жертв платить деньги, угрожая обнародовать конфиденциальные данные.

Согласно отчету, средняя сумма выкупа, требуемого вымогателями, выросла на 144% в 2021 году до $2,2 млн, а средняя сумма выплаты увеличилась на 78% до $541 010. Наиболее пострадавшими отраслями являются профессиональные и юридические услуги, строительство, оптовая и розничная торговля, здравоохранение и производство.

В 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, киберпреступники все чаще обращались к «сайтам утечек» в даркнете.
«
«В 2021 году атаки программ-вымогателей мешали повседневной деятельности, которую люди во всем мире считают само собой разумеющейся — от покупки продуктов и бензина для наших автомобилей до вызова службы экстренной помощи в случае чрезвычайной ситуации и получения медицинской помощи» — говорится в сообщении.
»

Наибольшую активность проявляла группа вымогателей Conti, на которую приходится более 1 из 5 случаев, рассмотренных консультантами Unit 42 в 2021 году. REvil, также известный как Sodinokibi, занял второе место с 7,1%, за ним следуют Hello Kitty и Phobos (по 4,8%). Conti также разместила названия 511 организаций на своем сайте утечек в Dark Web, что является самым большим показателем среди всех групп.

В отчете описывается рост экосистемы кибервымогательства в 2021 году с появлением 35 новых банд вымогателей. Преступные группировки инвестируют полученную прибыль в создание простых в использовании инструментов для атак, которые все чаще используют уязвимости нулевого дня.

Согласно исследованию Palo Alto Networks, число жертв, чьи данные были размещены на сайтах утечки, в 2021 году выросло на 85%, до 2566 организаций. 60% жертв сайтов утечки данных находились в Северной и Южной Америке, за ними следует 31% в Европе, на Ближнем Востоке и в Африке, а также 9% в Азиатско-Тихоокеанском регионе.[22]

Промышленные предприятия стали главной мишенью киберпреступников

23 февраля 2022 года подразделение IBM Security представило ежегодный отчет X-Force Threat Intelligence Index, который проливает свет на совокупный ущерб для бизнеса от программ-вымогателей и уязвимостей в 2021 году на фоне целенаправленных атак на промышленные предприятия как основную мишень злоумышленников в условиях усугубившегося кризиса в глобальных цепочках поставок. Наиболее распространенным видом кибератак за последний год оказался фишинг, однако специалисты IBM Security X-Force отметили рост на 33% числа атак, связанных с использованием уязвимостей в необновленном программном обеспечении. В 2021 году эти уязвимости стали главными воротами для проникновения программ-вымогателей, составив 44% от общего количества атак с применением таких программ.

По информации компании, в отчете 2022 года подробно рассказывается о том, как в течение 2021 года злоумышленники пытались разрушить фундамент глобальных цепочек поставок с помощью атак программ-вымогателей на промышленные объекты. По результатам 2021 года главной мишенью атак стали компании из отрасли промышленности (23%), сместив с доминирующих позиций сектор финансовых услуг и страхования. Увеличивая число атак на промышленные предприятия, злоумышленники рассчитывали создать «эффект домино», который привел бы к нарушению работы нижних звеньев цепочек поставок и вынудил бы организации заплатить выкуп мошенникам. 47% атак на промышленные предприятия были вызваны уязвимостями, которые компании-жертвы еще не успели или не смогли исправить. Это в очередной раз подчеркивает необходимость рассматривать управление уязвимостями как приоритетную задачу.

В отчете IBM Security X-Force Threat Intelligence Index 2022 очерчены тенденции и схемы атак, обнаруженные и проанализированные специалистами IBM Security на основе данных, собранных устройствами обнаружения инцидентов из миллиардов источников (таких как рабочие станции и сетевые устройства), опыта реагирования на инциденты, расследования атак фишинга и т. д., а также информация, предоставленная компанией Intezer.

Основные выводы из отчета 2022 года:

  • Группировкам киберпреступников не страшна ликвидация. По итогам 2021 года программы-вымогатели остаются самым распространенным методом атак, при этом не наблюдается никаких признаков ослабления этих группировок, несмотря на активные усилия по их ликвидации. Согласно отчету 2022 года, группировка киберпреступников существует в среднем 17 месяцев, прежде чем она прекратит свою деятельность или будет переименована.
  • Уязвимости — самое большое зло для бизнеса. Доклад X-Force свидетельствует, что в 2021 году причиной 50% атак на предприятия Европы, Ближнего Востока и Африки стали неисправленные уязвимости. Это лишь подтверждает, что исправление уязвимостей — сложнейшая задача для предприятий.
  • Тревожные признаки киберкризиса в облаке. Киберпреступники закладывают основу для проведения атак на облачные среды: отчет 2022 года демонстрирует рост объема другого кода для атак на Linux на 146% и смещение вектора атак в сторону Docker, что может упростить использование облачных сред для совершения вредоносных действий.

«
Киберпреступники обычно гонятся за деньгами. Теперь их целью является шантаж с помощью программ-вымогателей. Компании должны осознать, что уязвимости загоняют их в тупик, поскольку мошенники могут использовать эти уязвимости в своих интересах. Эта проблема выходит за рамки общепринятой системы угроз. На фоне постоянного увеличения периметра атак предприятия должны исходить из предположения наличия угроз вместо того, чтобы полагаться на исправление уже известных уязвимостей в своих средах, а также внедрять стратегию нулевого доверия для более эффективного управления уязвимостями.

отметил Чарльз Хендерсон, руководитель подразделения IBM X-Force
»

В ответ на активизацию работы правоохранительных органов по ликвидации хакерских группировок киберпреступники могут реализовать собственные планы по возобновлению деятельности. Анализ X-Force показывает, что средняя продолжительность существования группировок киберпреступников, прежде чем они будут ликвидированы или переименованы, составляет 17 месяцев. Например, хакерская группировка REvil, ответственная за 37% всех атак программ-вымогателей в 2021 году, просуществовала четыре года благодаря «ребрендингу», поэтому нельзя исключать вероятность ее повторного появления, несмотря на ликвидацию усилиями нескольких стран в середине 2021 года.

Замедление преступной деятельности благодаря правоохранительным органам также увеличивает расходы злоумышленников на «ребрендинг» или восстановление инфраструктуры. Для адаптации к другим «правилам игры» организациям нужно помнить о важности модернизации инфраструктуры для безопасного хранения данных — будь то локальные или облачные среды. Это поможет предприятиям упростить процессы управления, контроля и защиты приложений и данных, а также устранить рычаги влияния злоумышленников в случае взлома систем, усложнив доступ к важнейшим данным в гибридных облачных средах.

В отчете X-Force отмечается, что в 2021 году было зафиксировано рекордно высокое количество уязвимостей, при этом в системах управления производственными процессами их число ежегодно растет на 50%. Несмотря на то, что за последнее десятилетие было обнаружено более 146 тыс. уязвимостей, темпы цифровой трансформации организаций ускорились совсем недавно, главным образом в связи с пандемией. Это говорит о том, что проблемы в сфере управления уязвимостями еще не достигли своего пика.

В то же время все популярность набирает метод проведения атак, основанный на эксплуатации уязвимостей. Специалисты X-Force выяснили, что за предыдущий год число таких атак выросло на 33%. Среди наиболее часто используемых уязвимостей — две уязвимости, обнаруженные в популярных корпоративных приложениях (Microsoft Exchange, Apache Log4J Library). Масштабирование цифровых инфраструктур может обострить проблему управления уязвимостями для предприятий. А такие компании могут оказаться не в состоянии справиться с обеспечением соответствия требованиям аудита и регуляторов, поэтому так важно исходить из предположения наличия угроз и внедрять стратегию нулевого доверия для защиты корпоративной архитектуры.

В 2021 году специалисты X-Force обнаружили, что злоумышленники все чаще смещают вектор атак в сторону контейнеров, таких как Docker — самой распространенной среды исполняемой среды контейнеров (по данным Red Hat). Злоумышленникам известно, что контейнеры пользуются популярностью в организациях, поэтому они прилагают еще большие усилия для разработки вредоносных программ, которые охватывают сразу несколько платформ и могут использоваться в качестве стартовой площадки для взлома других компонентов инфраструктуры.

В отчете 2022 года также озвучено предостережение касательно постоянного притока инвестиций со стороны киберпреступников в уникальные, ранее неизвестные вредоносные программы для атак на Linux. Данные, предоставленные компанией Intezer, демонстрируют рост числа программ-вымогателей для Linux, содержащих обновленный код, на 146%. Поскольку злоумышленники неуклонно ищут способы расширения масштаба атак за счет облачных сред, предприятия должны сосредоточиться на оптимизации прозрачности своей гибридной инфраструктуры. Гибридные облачные среды, в основе которых лежат принципы взаимодействия и открытые стандарты, могут помочь организациям обнаружить «слепые зоны», а также ускорить и автоматизировать ответные действия системы обеспечения безопасности.

Дополнительные выводы, содержащиеся в отчете 2022 года:

  • Азия лидирует по числу атак — в 2021 году более 25% атак, обнаруженных IBM, были направлены на страны Азии. Это больше, чем в любом другом регионе мира. Объектом 60% атак в Азии стали финансовые учреждения и промышленные предприятия.
  • Интернет-мошенники на связи — фишинг стал самой популярной разновидностью кибератак в 2021 году. В ходе тестирования защиты экспертами X-Force Red было установлено, что эффективность фишинговых кампаний в сочетании с телефонными звонками выросла в три раза.

Число атак вирусов-вымогателей в мире выросло на 105%

17 февраля 2022 года ИБ-компания SonicWall опубликовала исследование, согласно которому в 2021 году общее количество атак программ-вымогателей увеличилось более чем в два раза - на 105% по сравнению с 2020 годом, когда рост измерялся 62% относительно 2019-го. Если сравнивать с 2019 годом, то в 2021-м число атак программ-вымогателей увеличилось более чем в три раза, что означает рост на 231% за два года.

По словам экспертов, популярность программ-вымогателей среди киберпреступников только растет, потому что это «место, где есть деньги».

Число атак вирусов-вымогателей в мире выросло на 105%
«
Если вы собираетесь монетизировать атаку и хотите получить максимальное соотношение риска и вознаграждения, то это будет вымогательское ПО. А с появлением сервисов по предоставлению выкупного ПО как услуги барьер для входа стал очень, очень низким, - отметил Дмитрий Айрапетов, вице-президент по архитектуре платформы SonicWal.
»

По данным SonicWall, в 2021 году США вновь стали самой крупной мишенью для атак с применением вымогательского ПО: на страну пришлось около 68% атак. Однако в других странах темпы роста числа таких атак были выше: в Германии и Великобритании в 2021 году число атак выросло на 3256%, а в Великобритании - на 227% по сравнению с 98%-ным ростом в США.

Что касается типов вымогательского ПО, SonicWall обнаружил, что Ryuk снова стал номером 1. Однако в 2021 году этот тип составил меньшую часть атак на программы-выкупы (30% атак), чем в 2020 году, когда Ryuk использовался в 36% атак.

Ричард Хикман из исследовательской группы Unit 42 компании Palo Alto Networks заявил в 2021 году, что за вирусами Ryuk и Conti стоит одна и та же группировка, которая считается «одной из самых безжалостных» в сфере выкупного ПО. Атаки Conti с целью получения выкупа включали в себя разрушительную атаку на службу здравоохранения Ирландии в мае 2021 года.

Согласно отчету компании CrowdStrike, опубликованному в начале февраля 2022 года, все чаще атаки с целью выкупа включают в себя раскрытие украденных данных общественности. Утечки данных, связанные с программами выкупа, выросли на 82% в 2021 году по сравнению с 2020 годом. Согласно их отчету, средняя сумма выкупа в 2021 году выросла на 36% до $6,1 млн.[23]

Системы Linux подвергаются атакам программ-вымогателей и криптоджекинга

18 февраля 2022 года компания VMware поделилась результатами исследования угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

В числе главных выводов, в которых описаны сценарии использования вредоносных программ злоумышленников для атак на ОС Linux:

  • Программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
  • В 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
  • Более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

«
Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых – операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальными усилиях, — отметил Джованни Винья (Giovanni Vigna), старший директор подразделения анализа угроз безопасности компании VMware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых – ОС на базе Linux.
»

Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных – так реализуется схема двойного вымогательства. Программы- вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов:
1) внедряют вредоносное ПО для кражи из онлайн-кошельков;
2) монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) – в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок – это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 года подразделение анализа угроз VMware обнаружило в сети более 14 000 активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

«
Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, — заявил Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании VMware. — Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции «нулевого доверия» Zero Trust для обеспечения безопасности всей инфраструктуры.
»

В ходе исследования департамент анализа угроз VMware использовал статические и динамические методы для характеристики различных семейств вредоносных программ, обнаруженных в системах на базе Linux, на основе тщательно отобранного набора данных, связанных с бинарными файлами Linux. Все они в открытом доступе – его можно получить с помощью VirusTotal или различных веб-сайтов основных дистрибутивов Linux. Специалисты VMware собрали более 11 000 доброкачественных образцов из нескольких дистрибутивов Linux, в частности, Ubuntu, Debian, Mint, Fedora, CentOS и Kali. Затем подразделение TAU собрало набор образцов для двух классов угроз — программ-вымогателей и криптомайнеров. Наконец, были собраны вредоносные бинарные ELF-файлы из VirusTotal, которые использовались в качестве тестового пакета вредоносных данных. Все данные были собраны за период июнь-ноябрь 2021 года.

От вирусов-вымогателей пострадали 16 тыс. российских компаний

От вирусов-вымогателей в 2021 году пострадали 16 тыс. российских компаний. Об этом свидетельствуют данные «Лаборатории Касперского», обнародованные 16 февраля 2022 года.

Эксперты антивирусной компании в 2021 году выявили 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всём мире. Отмечается, что злоумышленники, применяющие программы-вымогатели, стали чаще использовать сборки Linux, чтобы увеличить поверхность атак. Как сообщил эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын, подготовка и проведение атак с использованием шифровальщиков осуществляется в рамках целых экосистем с четким разделением труда.

От вирусов-вымогателей пострадали 16 тыс. российских компаний
«
Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик, применяемых мошенниками, - добавил эксперт.
»

В исследовании также говорится, что в 2021 году сохранился тренд на организацию атак при помощи вирусов-вымогателей с целью получения выкупа. Перед шифрованием операторы крадут данные у компаний и угрожают выложить их в публичный доступ, если им не заплатят.

В «Лаборатории Касперского» дали компаниям несколько рекомендаций, помогающих снизить вероятность успешных атак программ-вымогателей:

  • не допускать, чтобы сотрудники подключались к службам удалённого рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьёзной необходимости;
  • устанавливать обновления для коммерческих VPN-решений;
  • регулярно обновлять программное обеспечение на всех используемых устройствах;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет;
  • применять комплексные защитные решения кибербезопасности;
  • регулярно создавать резервные копии данных.[24]

Число утечек данных из-за вирусов-вымогателей в мире взлетело на 82%

В 2021 году утечки данных, связанные с вирусами-вымогателями, выросли на 82% по сравнению с 2020 году. Такие данные американская компания по кибербезопасности CrowdStrike представила в середине февраля 2022 года. Подробнее здесь.

Среди всех угроз доминировали программы-вымогатели

1 февраля 2022 года компания Cisco Talos рассказала о главных событиях на рынке кибербезопасности в 2021 году.

Среди всех угроз в 2021 году доминировали программы-вымогатели. В их использовании наблюдались два тренда: увеличение числа злоумышленников и рост применения коммерчески доступных продуктов и программ с открытым кодом. Подробнее здесь.

Число выявленных вирусов-вымогателей выросло на 26%, до 157

26 января 2022 года было опубликовано исследование, согласно которому в 2021-м было выявлено 32 новых семейств вирусов-вымогателей, что на 26% больше, чем годом ранее. Их общее количество достигло 157.

Отчет подготовлен разработчиками средств защиты Ivanti и Cyware совместно с центром нумерации CVE Cyber Security Works. Он составлен из нескольких источников данных, в том числе Ivanti и CSW, общедоступных баз данных угроз, а также исследователей угроз и групп пентестеров.

Число выявленных вирусов-вымогателей выросло в 2021 году на 26%

Анализ выявил 65 новых уязвимостей, связанных с программами-вымогателями в 2021 году, всего 288. Более трети (37%) появившихся уязвимостей были обнаружены на теневых веб-сайтах и в результате подвергались повторной эксплуатации. Кроме того, более половины (56%) старых CVE по-прежнему регулярно эксплуатируются.

В отчете также подчеркивается, что многие уязвимости нулевого дня эксплуатировались еще до того, как они были опубликованы в Национальной базе данных уязвимостей США (NVD). К ним относятся те, которые использовались для компрометации Kaseya (CVE-2021-30116) и печально известная ошибка Log4Shell (CVE-2021-44228).

Модель «программы-вымогатели как услуга» (RaaS) помогает демократизировать этот вид деятельности в киберпреступном подполье. Особенно опасными являются предложения «эксплойт как услуга», которые позволяют злоумышленникам арендовать эксплойты нулевого дня у их разработчиков.

В 2021 году было выявлено 65 новых уязвимостей, связанных с программами-вымогателями, всего их 288
«
Программы-вымогатели становятся все более изощренными, а их атаки - все более эффективными. Эти субъекты угроз все чаще используют автоматизированные наборы инструментов для использования уязвимостей и более глубокого проникновения в скомпрометированные сети. Они также расширяют свои цели и совершают все больше атак на критически важные сектора, нарушая повседневную жизнь и нанося беспрецедентный ущерб, — заявил Иванти, старший вице-президент по продуктам безопасности Шринивас Муккамала.
»

«
Организациям необходимо проявлять особую бдительность и без промедления исправлять уязвимости, связанные с угрозами кибербезопасности, без задержек. Это требует использования комбинации приоритизации уязвимостей на основе рисков и автоматизированной аналитики исправлений для выявления и определения приоритетов слабых мест уязвимостей, а затем ускорения устранения, - добавил он.[25]
»

Япония и США объединяются в борьбе с кибервымогателями

Правительства Японии и США планируют начать сотрудничество в сфере борьбы с вирусами-вымогателями. Об этом стало известно 27 декабря 2021 года. Подробнее здесь.

Киберкомандование США подтвердило проведение кибератак против вымогателей

Кибернетическое командование США (United States Cyber Command) публично признало проведение наступательных действий с целью нейтрализовать киберпреступные группировки, атаковавшие американские компании с помощью программ-вымогателей. Об этом стало известно 6 декабря 2021 года. Подробнее здесь.

Атака на одного из крупнейших в мире судоходных компаний Swire Pacific Offshore

26 ноября 2021 года судоходная компания Swire Pacific Offshore (SPO) объявила об утечке данных после того, как стала жертвой кибератаки. Была украдена как коммерческая информация, так и личные данные сотрудников. Подробнее здесь.

Названы самые «агрессивные» вирусы-вымогатели в России. Суммы потерь

24 ноября 2021 года в компании Group-IB назвали тройку самых «агрессивных» вирусов-вымогателей, атакующих российских бизнес. В список вошли шифровальщики Dharma, Crylock и Thanos.

С помощью каждой из этих вредоносных программ в 2021 году было совершено более 100 атак на российские компании. Отмечается, что максимальная запрошенная сумма выкупа составила 250 млн рублей (ее требовала группировка OldGremlin). В целом же этот показатель зависит как от величины бизнеса, так и от аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, а максимальная выплаченная — 40 млн рублей.

Названы самые «агрессивные» вирусы-вымогатели в России

Самый популярный способ, который используют для проникновения шифровальщиков в сети российских организаций, — компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). На этот способ пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты.

На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, приходится 22% инцидентов. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки. 14% инцидентов пришлось на уязвимости в публично доступных приложениях.

Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) к ноябрю 2021 года остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков — BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.[26]

Рост ущерба от атак вирусов-вымогателей до $325 млн

По оценке журнала Cybercrime magazine, глобальный ущерб от программ-вымогателей к концу 2021 года достигнет $20 млрд, тогда как еще в 2015 году эта цифра составляла $325 млн. Атаки вирусов-вымогателей на предприятия в мире происходят каждые 11 секунд. Не последнюю роль в этом сыграла пандемия коронавируса, которая спровоцировала резкий рост использования онлайн-сервисов. Об этом стало известно 23 ноября 2021 года. Подробнее здесь.

Вирус-вымогатель заблокировал ИТ-системы оператора общественного транспорта

В начале ноября 2021 года появилась информация о том, что атака вируса-вымогателя нарушила деятельность агентства общественного транспорта Торонто в Канаде - Toronto Transit Commission (TTC). Также кибернападение вывело из строя несколько систем, используемых как водителями, так и пассажирами. На момент написания статьи ни одна из банд, распространяющих вымогательские программы, не взяла на себя ответственность за этот инцидент. Подробнее здесь.

Check Point Software: $40 млн - это рекордный выкуп хакерам

По данным компании Check Point Software, специализирующейся на технологиях информационной безопасности, выкуп в $40 млн, который страховая компания CNA Financial заплатила в 2021 году хакерам, стал крупнейшим в истории атак вирусов-вымогателей. Об этом эксперты сообщили в начале ноября 2021 года.

По сведениям Bloomberg, злоумышленники изначально требовали $60 млн, а после длительных переговоров они согласились на уменьшенную на $20 млн. По данным ИБ-специалистов, использованный для атаки на CNA Financial вирус Phoenix был создан на базе зловреда Hades. Этот вирус разработала хакерская группировка Evil Corp. Подробнее здесь.

В работе АЗС в Иране произошел сбой после масштабной кибератаки

В конце октября 2021 года власти Ирана обвинили хакеров в нарушении работы автозаправочных станций по всей стране. В какой форме была осуществлена кибератака, не уточняется, и ни одна группа не взяла на себя ответственность. Подробнее здесь.

Атака вируса-вымогателя на кондитерского гиганта Ferrara Candy

В октябре 2021 года компания Ferrara Candy, специализирующаяся на производстве конфет под марками Nerds, Laffy Taffy, Now and Laters, SweetTarts, Jaw Busters, Nips, Runts и Gobstoppers, Объявила о том, что она подверглась атаке вымогательского программного обеспечения. Вирус нарушил работу ИТ-систем и производство. Компания не сообщила, заплатила ли она выкуп и какая группа вымогателей атаковала их системы. Подробнее здесь.

Хакеры организовали кибератаку по всему миру через дыру в корпоративном ПО BQE Software

В конце октября 2021 года появилась информация о том, что хакеры начали взламывать компании с помощью вируса-вымогателя, используя уязвимость в системе учета рабочего времени и выставления счетов BillQuick Web Suite разработанной BQE Software. Об этом сообщили в компании Huntress, занимающейся исследованием угроз. Подробнее здесь.

IDC: Каждая третья компания в мире столкнулась с вирусами-вымогателями

В конце октября 2021 года аналитики IDC опубликовали исследование, в котором сообщили, что более трети компаний по всему миру в 2020-2021 гг. подверглись атаке вирусов-вымогателей или взлому, заблокировавшему доступ к ИТ-системам или данным.

Наибольшее количество инцидентов, связанных с вирусами-вымогателями (Ransomware), зафиксировано в производственных и финансовых отраслях, а наименьшее, в отраслях транспорта, связи и коммунальных услуг и медиа. Компании, кто стал жертвой, нередко сталкивались и с повторными случаями атак.

«
Вирусы-вымогатели стали врагом дня; угроза, которой сначала боялись на Пенсильвания-авеню, а затем стали бояться на Уолл-стрит, теперь стала предметом разговоров на Мэйн-стрит. По мере того, как алчность кибермошенников подпитывалась, вирусы-вымогатели становились все более изощренными, постоянно обновлялись, повышая свою приватность, тем самым активно уклоняясь от обнаружения, изымая данные и используя многогранное вымогательство. Добро пожаловать на темную сторону цифровой трансформации!, - сказал программный вице-президент IDC по продуктам кибербезопасности Фрэнк Диксон (Frank Dickson).
»

IDC: Каждая третья компания в мире столкнулась с атакой вирусов-вымогателей

Основные выводы, сделанные в ходе исследования, включают следующее:

  • Уровень инцидентов был заметно ниже для компаний, расположенных в США 7%, по сравнению с общемировым показателем 37%;
  • Наибольшее количество инцидентов, связанных с вирусами-вымогателями, зафиксировано в производственных и финансовых отраслях, а наименьшее, в отраслях транспорта, связи и коммунальных услуг/медиа;
  • Только 13% организаций сообщили, что пережили атаку/взлом вирусами-вымогателями и не заплатили выкуп;
  • Хотя средняя сумма выкупа составила почти $250 тыс., несколько крупных выкупов в размере более $1 млн, исказили общие средние показатели.

Повышение осведомленности об инцидентах с вымогательством выкупа побудило различные компании предпринять целый ряд ответных мер. К ним относятся проверка и сертификация методов обеспечения безопасности и защиты/восстановления данных у партнеров и поставщиков, периодическое стресс-тестирование процедур реагирования на киберпреступления, а также более активный обмен информацией об угрозах с другими организациями и/или государственными учреждениями. Повышение осведомленности об инцидентах также вызвало просьбы советов директоров пересмотреть методы обеспечения безопасности и процедуры реагирования на вирусы-вымогатели.[27]

Атака вирус-вымогателя на Gigabyte

В конце октября 2021 года Gigabyte подверглась атаке вируса-вымогателя, что стало вторым случаем нападения на компанию за последние три месяца. Некоторые ИТ-системы заблокированы и в случае, если компания не заплатит, есть угроза выпустить больше украденных данных от AvosLocker во всемирную паутину. Подробнее здесь.

Атака вируса-вымогателя на телекоммуникационный конгломерат Sinclair Broadcast Group

18 октября 2021 года телекоммуникационный конгломерат Sinclair Broadcast Group (SBGI) сообщил об атаке вируса-вымогателя, который нарушил работу некоторых офисных и операционных сетей внутри компании. Акции компании на фоне этих новостей упали почти на 3%. Подробнее здесь.

Две трети организаций подверглись как минимум одной атаке с использованием программ-вымогателей

Компания Fortinet 11 октября 2021 года поделилась результатами отчета 2021 Global State of Ransomware Report. Опрос показывает, что большинство организаций больше обеспокоены программами-вымогателями, чем другими киберугрозами. Однако, хотя большинство опрошенных организаций указали, что они готовы к таким атакам: внедрили кибер-обучение сотрудников, провели оценку рисков и страхование кибербезопасности, существует явный разрыв в том, что многие респонденты считают ключевыми решениями для защиты и технологиями, которые могут наилучшим образом защитить от наиболее распространенных методов проникновения в их сети.

«
Согласно недавнему отчету FortiGuard Labs Global Threat Landscape, количество программ-вымогателей выросло на 1070% в годовом исчислении. Неудивительно, что организации назвали меняющийся ландшафт угроз одной из главных проблем в предотвращении атак программ-вымогателей. Как свидетельствует наш опрос о программах-вымогателях, существует огромная возможность для внедрения технологических решений, таких как сегментация, SD-WAN, ZTNA, а также SEG и EDR, для защиты от таких угроз и обеспечения методов доступа, которые чаще всего упоминали респонденты. Большое количество атак демонстрирует безотлагательную необходимость для организаций обеспечить защиту своих данных от последних методов атак программ-вымогателей в сетях, на конечных точках и в облаках. Хорошая новость заключается в том, что компании осознают ценность платформенного подхода к защите от программ-вымогателей – сказал Джон Мэддисон, первый вице-президент отдела маркетинга продуктов и решений компании Fortinet.
»

График: Жизненно важные решения для обеспечения защиты от программ-вымогателей

Если судить по технологиям, считающимся крайне важными, среди которых наиболее популярными являются Secure Web Gateway, VPN и Network Access Control, то организации больше всего беспокоятся об удаленных сотрудниках и устройствах, Хотя ZTNA – молодая технология, ее следует рассматривать как замену традиционной технологии VPN. Однако наибольшее беспокойство вызвала низкая значимость сегментации (31%). Это критически важное технологическое решение, которое предотвращает боковое перемещение злоумышленников внутри сети для получения доступа к важным данным и интеллектуальной собственности. Аналогичным образом, UEBA и песочница играют критически важную роль в выявлении вторжений и новых штаммов вредоносных программ, но оба они находятся ниже в списке. Еще одним сюрпризом стало восприятие важности защищенности шлюза электронной почты на уровне 33%, учитывая, что фишинг, как сообщается, является распространенным методом проникновения злоумышленников.

Наибольшее беспокойство организаций в связи с атакой программ-вымогателей вызвал риск потери данных, а также снижение производительности и прерывание работы. Кроме того, 84% организаций сообщили о наличии плана реагирования на инциденты, а страхование кибербезопасности входило в 57% этих планов. Что касается выплаты выкупа в случае атаки, то для 49% организаций процедура заключается в прямой выплате выкупа, а для еще 25% – в зависимости от того, насколько дорог выкуп. Из четверти тех, кто заплатил выкуп, большинство, но не все, получили свои данные обратно.

Несмотря на то, что опасения по поводу программ-вымогателей были достаточно устойчивыми во всех странах, в регионах наблюдались некоторые различия. Респонденты из стран EMEA (95%), Латинской Америки (98%) и APJ (Азиатско-Тихоокеанский регион/Япония) (98%) были обеспокоены такими атаками лишь немного больше, чем их коллеги из Северной Америки (92%). Все регионы считают потерю данных главным риском, связанным с атакой программ-вымогателей, наряду с опасениями, что они не смогут противостоять все более изощренным угрозам. В Азиатско-Тихоокеанском регионе, в частности, главной проблемой является недостаточная осведомленность и обучение пользователей. Респонденты в Азиатско-Тихоокеанском регионе и Латинской Америке чаще других становились жертвами таких атак в прошлом (78%) по сравнению с 59% в Северной Америке и 58% в регионе EMEA. Везде распространенным вектором атак был фишинг, в то время как в Азиатско-Тихоокеанском регионе и Латинской Америке основными векторами атак были эксплойты протокола удаленного рабочего стола (RDP) и открытые уязвимые порты.

Почти все респонденты считают, что оперативная разведка угроз с помощью интегрированных решений безопасности или платформы имеет решающее значение для предотвращения атак программ-вымогателей, и видят ценность в возможностях обнаружения поведенческих факторов на основе искусственного интеллекта (ИИ).

График: Важные аспекты решений в области информационной безопасности

Хотя почти все опрошенные считают, что они в меру подготовлены и планируют инвестировать в обучение сотрудников кибер-осведомленности, из опроса ясно, что организациям необходимо признать ценность инвестиций в такие технологии, как усовершенствованная защита электронной почты, сегментация и песочница, в дополнение к основным технологиям NGFW, SWG и EDR, для обнаружения, предотвращения и ограничения программ-вымогателей. Важно, чтобы организации рассмотрели и оценили эти решения для снижения риска, учитывая тактики и методы борьбы с такими угрозами. Наиболее продвинутые организации примут платформенный подход к стратегии защиты от программ-вымогателей, предоставляющий основные возможности, полностью интегрированные с оперативной информацией об угрозах. Они также должны быть спроектированы так, чтобы взаимодействовать как единая система и быть усовершенствованы с помощью искусственного интеллекта и машинного обучения, чтобы лучше обнаруживать угрозы программ-вымогателей и реагировать на них.

Отчет основан на глобальном опросе руководителей ИТ-подразделений, цель которого – лучше понять, как организации относятся к угрозе программ-вымогателей, как они защищаются от нее в настоящее время и как планируют защищаться от нее в будущем.

Опрос проводился в августе 2021 года с участием 455 руководителей компаний из малых, а также средних и крупных организаций по всему миру. Участники опроса – лидеры в области ИТ и безопасности из 24 разных стран, представляющие практически все отрасли, включая государственный сектор.

Законопроект США обяжет жертв вымогателей уведомлять о выплатах

Законопроект США под названием Ransom Disclosure Act («Закон о раскрытии выкупа») обяжет жертв вымогателей уведомлять о выплатах хакерам в течение 48 часов. Об этом стало известно 6 октября 2021 года.

Более подробная информация о вымогателях поможет властям разработать эффективные стратегии защиты.

Законопроект был разработан сенатором США Элизабет Уоррен (Elizabeth Warren) и членом Палаты представителей США Деборой Росс (Deborah Ross). Как заявила сенаторша, количество атак вымогательских группировок растет, несмотря на разносторонние усилия по решению проблемы, поэтому получение более подробной информации о финансовых транзакциях в подпольных кругах может помочь властям разработать и реализовать более эффективные стратегии нейтрализации и защиты.

Четыре основных пункта законопроекта заключаются в следующем:

Требовать от жертв программ-вымогателей (за исключением физических лиц) раскрывать информацию о выплатах выкупа не позднее, чем через 48 часов после даты выплаты, включая сумму запрошенного и уплаченного выкупа, тип валюты, использованной для выплаты выкупа, и любую известную информацию о преступниках;

Требовать от Министерства внутренней безопасности США обнародовать информацию, раскрытую в течение предыдущего года, за исключением идентифицирующей информации об организациях, уплачивающих выкуп;

Требовать от Министерства внутренней безопасности США создания web-сайта, через который люди могут добровольно сообщать об уплате выкупа;

Поручить министру внутренней безопасности провести исследование общих черт атак программ-вымогателей и степень, в которой криптовалюта способствовала этим атакам, и предоставить рекомендации по защите информационных систем и усилению кибербезопасности.

Принуждение жертв к раскрытию информации об уплате выкупа хакерам всегда вызывало споры, поскольку это может лишь усугубить последствия атак программ-вымогателей. Данная стратегия может привести к случаям, когда восстановление нормальной работы компании будет отложено из-за дополнительной проверки.

Для вступления в силу законопроект должен пройти голосование в Сенате, затем в Палате представителей и, наконец, быть подписанным президентом США Джо Байденом[28].

На Украине задержали участника хакерской группировки, которая выманила $150 млн при помощи вирусов-вымогателей

В начале октября 2021 года правоохранительные органы Украины сообщили о задержании хакера, который своими преступными действиями нанес ущерб иностранным компаниям на общую сумму в $150 млн. Подробнее здесь.

Атака вируса-вымогателя на минюст ЮАР

В сентябре 2021 года стало известно об атаке вируса-вымогателя на Министерство юстиции и конституционного развития Южной Африки (DOJCD). Хакеры требуют от ведомства выкуп в размере 50 биткоинов в обмен на восстановление доступа к взломанным системам. Подробнее здесь.

Американского производителя кукурузы и сои New Cooperative атаковал вирус-вымогатель

В конце сентября 2021 года сельскохозяйственная группа New Cooperative подверглась атаке вируса-вымогателя, что может поставить под угрозу деятельность компании, играющей ключевую роль в цепочке поставок сельскохозяйственной продукции. Подробнее здесь.

Бизнес операторов программ-вымогателей может измениться

Эксперты предполагают, что скоро операторы вымогательского ПО могут отказаться от партнеров по «отрасли», так как последние вредят их «безупречной репутации». Как показал анализ, во втором квартале 2021 года были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Об этом 14 сентября 2021 года сообщили в Positive Technologies.

«
«Самое большое число атак с использованием программ-вымогателей (45%) пришлось на апрель, — отметила аналитик информационной безопасности Positive Technologies Яна Юракова. — Однако в начале мая злоумышленники атаковали крупнейшую трубопроводную систему США Colonial Pipeline и полицию округа Колумбия, чем привлекли внимание правоохранительных органов. Эти инциденты сказались на активности операторов и распространителей шифровальщиков. Уже в июне количество атак с их участием уменьшилось вдвое. Некоторые из них даже внесли изменения в свои партнерские программы, добавив ограничения на отрасль атакуемого предприятия, как, например, операторы REvil».
»

Эксперты Positive Technologies особо отметили частые споры на форумах в дарквебе на тему бизнеса операторов программ-вымогателей. Так, некоторые участники форумов считают, что вымогателям необходимо прекратить текущую деятельность, поскольку та наносит слишком большой урон и негативно сказывается на деятельности участников теневого рынка, и найти другой способ зарабатывать.

«
«На наш взгляд, наделавшие шума операторы программ-вымогателей не смогут бросить такой прибыльный бизнес и в ближайшее время лишь залягут на дно, чтобы шумиха вокруг них улеглась и они смогли определить новые принципы работы», — прокомментировал ситуацию Вадим Соловьев, руководитель группы анализа угроз информационной безопасности Positive Technologies.
»

Как сообщается в исследовании, на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени структура этого бизнеса может измениться. Одним из сценариев подобных изменений может стать исчезновение так называемых партнеров как отдельной роли: их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую, а не через посредника, и активнее привлекать добытчиков доступов в свои цепочки атак.

Атака вируса-вымогателя на Olympus

8 сентября 2021 года компанию Olympus атаковал вирус-вымогатель, компания расследует инцидент кибербезопасности, затронувший ее компьютерную сеть в Европе, на Ближнем Востоке и в Африке. Подробнее здесь.

ФБР: На продовольственные и сельскохозяйственные компании обрушились атаки вирусов-вымогателей

1 сентября 2021 года ФБР разослало уведомление, в котором предупредило компании продовольственного и сельскохозяйственного сектора о необходимости остерегаться атак вирусов-вымогателей.

В записке ФБР говорится, что группы, использующие вирус, стремятся нарушить работу, нанести финансовый ущерб и негативно повлиять на цепочку поставок продовольствия.

В уведомлении поясняется, что в последние месяцы сектор пищевой промышленности и сельского хозяйства сталкивается с растущим числом атак, поскольку группы, использующие вирусы-вымогателей, нацелены на критически важные отрасли с большой поверхностью атаки.

На продовольственные и сельскохозяйственные компании обрушились атаки вирусов-вымогателей

Многие крупнейшие пищевые компании сегодня используют в своих процессах множество IoT-устройств и интеллектуальных технологий, поэтому крупные сельскохозяйственные предприятия становятся мишенью, поскольку могут позволить себе заплатить более высокий выкуп, а с более мелких организаций хоть и прибыль меньше, но они подвергаются атакам из-за неспособности позволить себе качественную кибербезопасность.

«
С 2019 по 2020 год среднее требование выкупа удвоилось, а средняя выплата по киберстрахованию увеличилась на 65%. Самый высокий наблюдаемый спрос на выкуп в 2020 году составил $23 млн. Согласно отчету IC3 за 2020 год, получено 2474 жалобы, идентифицированные, как вирусы-вымогатели, с скорректированными убытками в размере более $29,1 млн во всех секторах. Отдельные исследования показали, что 50-80% жертв, заплативших выкуп, подверглись повторной атаке, совершенной теми же или другими лицами. Хотя киберпреступники используют различные методы заражения жертв, наиболее распространенными способами заражения являются фишинговые кампании по электронной почте, уязвимости протокола удаленного рабочего стола и уязвимости ПО, - говорится в сообщении ФБР.
»

Далее в уведомлении перечисляются многочисленные атаки на пищевой и сельскохозяйственный сектор, совершенные с ноября 2020 года, в том числе атака Sodinokibi/REvil вируса-вымогателя на американскую хлебопекарную компанию, атака на глобального переработчика мяса JBS в мае 2021 года, атака на американскую компанию по производству напитков в марте 2021 года и атака на американскую ферму в январе 2021 года, которая нанесла ущерб в размере около $9 млн.

«
Мы хотим повысить осведомленность, и эта необходимость особенно важна для владельцев и операторов критической инфраструктуры, которые предоставляют критически важные услуги для американцев. Организации и частные лица должны быть начеку уже сейчас, потому что преступники иногда заранее продумывают свои шаги и начинают планирование, - заместитель советника Белого дома по национальной безопасности Энн Нойбергер.
»

В уведомлении перечисляется ряд мер, которые компании сектора пищевой промышленности и сельского хозяйства могут предпринять для своей защиты, включая создание резервных копий, сегментацию сети, многофакторную аутентификацию и проактивный мониторинг журналов удаленного доступа/RDP.[29]

Еженедельная активность программ-вымогателей увеличилась за год в 10 раз

Компания Fortinet, представитель в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности, 30 августа 2021 года поделилась результатами полугодового исследования FortiGuard Labs Global Threat Landscape Report. Данные об угрозах, полученные в первой половине 2021 года, свидетельствуют о значительном увеличении объема и сложности атак, направленных на отдельных лиц, организации и все более критическую инфраструктуру. Расширяющаяся поверхность атаки – гибридная рабочая сила и учащиеся, находящихся в периметре традиционной сети и вне ее – остается мишенью злоумышленников. Своевременное сотрудничество и развитие партнерских отношений между правоохранительными органами, а также государством и частными компаниями даст возможность нарушить экосистему киберпреступников во второй половине 2021 года. Подробный обзор отчета, а также некоторые важные выводы читайте в нашем блоге. Ниже приводятся выводы исследования за первое полугодие 2021 года:

1) Программы-вымогатели – речь идет о чем-то большем, чем просто о получении денег: данные FortiGuard Labs показывают, что средняя еженедельная активность программ-вымогателей в июне 2021 года была более чем в десять раз выше, чем уровень, зафиксированный, год назад. Это демонстрирует постоянный и в целом устойчивый рост в течение года. Атаки нанесли ущерб цепочкам поставок множества организаций, в частности, критически важным секторам, и повлияли на повседневную жизнь, производительность и торговлю больше, чем когда-либо прежде. Больше всего преследовались организации телекоммуникационного сектора, за ними следовали правительство, поставщики управляемых услуг безопасности, автомобильный и производственный секторы.

Кроме того, некоторые операторы программ-вымогателей сместили свою стратегию с загрузки через электронную почту к сосредоточению на получении и продаже начального доступа к корпоративным сетям, что еще раз демонстрирует продолжающуюся эволюцию программ-вымогателей как услуги (RaaS), подпитывающую киберпреступность. Ключевой вывод заключается в том, что программы-вымогатели остаются явной и реальной опасностью для всех организаций, независимо от отрасли и размера. Организациям необходимо применять упреждающий подход с решениями для защиты конечных точек в реальном времени, обнаружения и автоматического реагирования для обеспечения безопасности сред наряду с подходом с нулевым доверием, сегментацией сети и шифрованием.

Рост обнаружения программ-вымогателей за последние 12 месяцев (Июль 2020 – Июнь 2021)

2) Каждая четвертая организация обнаружила вредоносную рекламу: рейтинг распространенности наиболее часто обнаруживаемых вредоносных программ по их семействам показывает рост числа вредоносной рекламы (malvertising) с использованием социальной инженерии и scareware. Более одной из четырех организаций выявляли попытки распространения вредоносной рекламы или scareware, среди которых Cryxos. Хотя, скорее всего, большое количество обнаружений сочетается с другими подобными кампаниями JavaScript, которые можно считать вредоносной рекламой. Гибридная рабочая реальность, несомненно, подтолкнула киберпреступников к этой тактике – они используют ее чтобы запугивать и вымогать. Чтобы человек не стал жертвой scareware и вредоносной рекламы, как никогда важно обучать его и повышать осведомлённость о таких подходах.

3) Тенденции ботнетов показывают, что злоумышленники наращивают силы до предела: отслеживание распространенности обнаружения ботнетов показало всплеск активности. В начале года 35% организаций обнаруживали активность ботнетов в том или ином виде, а через шесть месяцев этот показатель составил 51%. За общий всплеск активности в июне ответственен TrickBot. Изначально он появился на киберпреступной сцене как банковский троян, но с тех пор превратился в сложный и многоступенчатый инструментарий, поддерживающий целый ряд незаконных действий. Mirai был самым распространенным в целом; он обогнал Gh0st в начале 2020 года и с тех пор действовал до 2021 года. Mirai продолжает пополнять свой арсенал кибероружием, но вполне вероятно, что доминирование Mirai, по крайней мере частично, все еще обусловлено стремлением преступников эксплуатировать устройства Интернета вещей (IoT), используемые людьми, работающими или обучающимися на дому. Также заметна активность Gh0st – ботнета удаленного доступа, который позволяет злоумышленникам полностью контролировать зараженную систему, захватывать прямые трансляции с веб-камеры и микрофона или загружать файлы. Более чем через год после начала удаленной работы и сменного обучения киберпротивники продолжают использовать в своих целях наши развивающиеся повседневные привычки. Для защиты сетей и приложений организациям необходимы подходы с нулевым доверием к доступу, обеспечивающие наименьшие привилегии доступа для защиты от проникновения в сеть конечных точек и устройств IoT.

4) Борьба с киберпреступностью дает свои плоды: В сфере кибербезопасности не каждое действие имеет немедленный или длительный эффект, но несколько событий 2021 года свидетельствуют о позитивных изменениях именно для защитников. В июне первоначальному разработчику TrickBot были предъявлены многочисленные обвинения. Кроме того, скоординированное уничтожение Emotet, а также действия по пресечению операций программ-вымогателей Egregor, NetWalker и Cl0p представляют собой значительный импульс со стороны киберзащитников, включая мировые правительства и правоохранительные органы, направленный на борьбу с киберпреступностью. Кроме того, внимание, которое привлекли некоторые атаки, заставило нескольких операторов программ-вымогателей объявить о прекращении своей деятельности. Данные FortiGuard Labs свидетельствуют о замедлении активности угроз после уничтожения Emotet. Активность, связанная с вариантами TrickBot и Ryuk, сохранилась и после отключения ботнета Emotet, но ее объем снизился. Это напоминание о том, как трудно сразу ликвидировать киберугрозы или цепочки поставок противника, но эти события являются важными достижениями, несмотря ни на что.

5) Защитные методы уклонения и эскалация привилегий киберпреступников: Изучение данных об угрозах с более высоким разрешением позволяет сделать ценные выводы о том, как развиваются методы атак. Лаборатория FortiGuard Labs проанализировала специфическую функциональность, присущую обнаруженным вредоносным программам, испытал образцы, чтобы проследить, какой результат предполагался киберпротивниками. В результате был составлен список негативных действий, которые вредоносное ПО могло бы совершить, если бы полезная нагрузка атаки была выполнена в целевых средах. Это показывает, что киберпротивники стремились к повышению привилегий, обходу защитных систем, боковому перемещению по внутренним системам и утечке скомпрометированных данных, среди прочих методов. Например, 55% наблюдаемых функций повышения привилегий использовали хукинг, а 40% – внедрение процессов. Отсюда можно сделать вывод, что защитники уделяют особое внимание тактике уклонения от защиты и эскалации привилегий. Хотя эти методы не являются новыми, организации будут лучше защищены от будущих атак, вооружившись этими своевременными знаниями. Интегрированные и основанные на искусственном интеллекте (ИИ) платформенные подходы, основанные на оперативной информации об угрозах, необходимы для защиты по всем направлениям, а также для выявления и устранения меняющихся угроз, с которыми организации сталкиваютсяв режиме реального времени.

«
Мы наблюдаем рост числа эффективных и разрушительных кибератак, затрагивающих тысячи организаций в одном инциденте. Это создает важный переломный момент в войне с киберпреступностью. Каждый играет важную роль в укреплении цепи поражения. Для разрушения цепочек поставок киберпреступников приоритетным направлением должно стать объединение сил посредством сотрудничества. Совместное использование данных и партнерство могут обеспечить более эффективное реагирование и более точное прогнозирование будущих методов для сдерживания усилий противника. Постоянное обучение по вопросам кибербезопасности, а также технологии предотвращения, обнаружения и реагирования на основе искусственного интеллекта, интегрированные в конечные точки, сети и облака, остаются жизненно важными для противодействия киберпротивникам, – сказал Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.
»

В то время как правительство и правоохранительные органы принимали меры в отношении киберпреступности в прошлом, первая половина 2021 года может изменить правила игры с точки зрения динамики развития событий в будущем. Для принятия действенных мер против киберпреступников необходимо всестороннее сотрудничество с отраслевыми поставщиками, организациями по анализу угроз и другими глобальными партнерскими организациями, чтобы объединить ресурсы и информацию об угрозах в реальном времени. Тем не менее, автоматическое обнаружение угроз и искусственный интеллект по-прежнему необходимы для того, чтобы организации могли реагировать на атаки в режиме реального времени и смягчать их с высокой скоростью и масштабируемостью на всех уровнях. Кроме того, обучение пользователей по вопросам кибербезопасности так же важно, как и прежде. Все нуждаются в регулярном обучении методам обеспечения безопасности отдельных сотрудников и организации.

Хакеры взломали Gigabyte и требуют выкуп

В начале августа 2021 года тайваньский производитель компонентов для ПК Gigabyte подвергся атаке вируса-вымогателя. Хакеры обещают опубликовать конфиденциальную корпоративную информацию, если компания не заплатит выкуп. Подробнее здесь.

Правительство США создало отдел по борьбе с вирусами-вымогателями и предлагает $10 млн за информацию об их распространителях

В середине июля 2021 года правительство США создало отдел по борьбе с вирусами-вымогателями и предлагает $10 млн за информацию о лицах, участвующих в санкционированной иностранным государством злонамеренной кибер-активности в отношении критически значимой инфраструктуры США, включая атаки вирусов-вымогателей. Подробнее здесь.

Хакеры заблокировали системы ИТ-компании Kaseya и потребовали выкуп в $70 млн

В начале июля 2021 года Kaseya подверглась кибератаке, которая предположительно была осуществлена хакерами REvil. В результате хакерского нападения были заражены системы не только REvil, но и сотен клиентов по меньшей мере в 17 странах. Злоумышленники требуют выкуп в размере $70 млн. Подробнее здесь.

Атака вируса-вымогателя на Fujifilm и последующая остановка ИТ-систем

В начале июня 2021 года Fujifilm сообщила об остановке нескольких серверов после атаки вируса-вымогателя. По данным издания Bleeping Computer, вредоносная кампания была организована при помощи трояна Qbot, о котором впервые стало известно еще десятью годами ранее. Подробнее здесь.

Минюст США поставил атаки вирусов-вымогателей в один ряд с терроризмом

В начале июня 2021 года Министерство юстиции США сообщило, что атаки вирусов-вымогателей были приравнены к терроризму и получили соответствующий приоритет в расследованиях. Решение минюста последовало за нападениями хакеров на компании Colonial Pipeline и JBS, которые привели к нехватке топлива на восточном побережье США и к дефициту говядины в Северной Америке и Австралии.

Внутренние рекомендации, разосланные по офисам прокуроров США, гласят, что специально созданная целевая группа в Вашингтоне будет централизованно координировать расследования атак вирусов-вымогателей на местах.

«
Специализированные процедуры позволят отслеживать все случаи использования вирусов-вымогателей, чтобы следственный комитет мог устанавливать связи между участниками и находить зачинщиков, - пояснил сотрудник министерства юстиции Джон Карлин (John Carlin).
»

Главный специалист по информационной безопасности компании JupiterOne Сунил Ю (Sounil Yu) отметил, что если теперь платежи, связанные с использованием вирусов-вымогателей, будут рассматриваться как финансирование терроризма, это даст США новые рычаги давления на страны, укрывающие или поддерживающие хакеров. «Для таких стран, как Северная Корея, это вряд ли станет серьезным сдерживающим фактором. Однако другие группировки хакеров могут пересмотреть свои цели под таким давлением».

Вице-президент по исследованиям кибербезопасности компании New Net Technologies Дирк Шрейдер (Dirk Schrader) в свою очередь отметил, что такого шага со стороны правительства может оказаться недостаточно для эффективного сдерживания кибератак. «Большая часть проблем касается сбора и централизации информации, - сказал он. - Компании должны сообщать властям о всех случаях вымогательства».[30]

Bose отбилась от атаки вируса-вымогателя

В конце мая 2021 года онлайн-издание Bleeping Computer сообщило о попытке взлома компании-производителя звукового оборудования Bose с помощью вируса-вымогателя. В письме с уведомлением, поданном в офис генерального прокурора Нью-Гэмпшира, Bose сообщила о «сложной кибератаке, которая привела к развертыванию вредоносных программ/программ-вымогателей» в киберсреде компании. Подробнее здесь.

CNA Financial выплатила $40 млн выкупа после атаки вируса-вымогателя

В конце мая 2021 года одна из крупнейших страховых компаний США CNA Financial заплатила хакерам $40 млн за восстановление контроля над своей внутренней сетью. Выкуп потребовали хакеры, которые совершили атаку на компанию с помощью программы-вымогателя, шифрующей данные на компьютерах жертвы. Подробнее здесь.

Минздрав Ирландии отключил ИТ-системы после атаки вируса-вымогателя

14 мая 2021 года Национальная служба здравоохранения Ирландии вынуждена была временно отключить свою ИT-систему из-за хакерской атаки. Известно, что хакеры использовали программу-вымогатель. Подробнее здесь.

Хакеры DarkSide украли у Toshiba 740 Гбайт сверхсекретной информации

В середине мая 2021 года группа хакеров DarkSide сообщила о похищении 740 Гбайт информации у французского подразделения японской электротехнической корпорации Toshiba. К злоумышленникам попала сверхсекретная информация, в том числе новые бизнес-проекты, данные, которые имеют отношение к работе менеджмента, а также личные файлы сотрудников. Подробнее здесь.

Рост расходов компаний на восстановление после атаки вирусов-вымогателей до $1,85 млн

Согласно исследованию, опубликованному ИБ-компанией Sophos в конце апреля 2021 года, средние расходы бизнеса на восстановление после атаки вирусов-вымогателей в мире в годовом исчислении выросли более чем вдвое. К началу 2020 года они составляли $761 106, а год спустя — $1,85 млн. Средний размер выкупа организаторам таких атак, блокирующих работу компьютеров, превысил $170 тыс.

Согласно докладу Sophos, лишь 8% компаний смогли полностью вернуть утраченные данные после взлома с использованием вирусов-вымогателей. 29% организаций удалось восстановить не больше половины информации.

Расходы компаний на восстановление после атаки вирусов-вымогателей достигли $2 млн

Для своей аналитической работы Sophos опросила около 5400 ИТ-руководителей компаний среднего размера в 30 странах Европы, Северной и Южной Америки, Азиатско-Тихоокеанского региона и Центральной Азии, Ближнего Востока и Африки. 37% респондентов сообщили о пережитых атаках шифровальщиками, тогда как годом ранее эта доля равнялась 51%. Также снизилось количество компаний, у которых данные оказались зашифрованы в результате таких кибернападений, — с 73% до 54% от общего количества организаций, охваченных исследованием.

«
Очевидное сокращение числа организаций, пострадавших от программ-вымогателей, — это хорошая новость, но она омрачается изменением поведения злоумышленников, по крайней мере, частичным, — говорит главный научный сотрудник. Sophos Честер Вишневски (Chester Wisniewski). — Мы видели, как киберпреступники переходят от крупномасштабных, обычных, автоматических атак к более целевым нападениям, которые включают отслеживание ручного набора текста на клавиатуре. Хотя атак стало меньше, вероятность ущерба от этих всё более сложных целевых нападений теперь стала намного выше.
»

Компании стали чаще платить выкуп организаторам атак при помощи вирусов-вымогателей: к началу 2021 года их доля увеличилась до 32% с 26% в 2020-м. 10 опрошенных компаний заплатили более $1 млн.[31]

Сеть клиник Scripps Health подверглась атаке вирусов-вымогателей

В начале мая 2021 года крупная сеть клиник Scripps Health, развернутая в Сан-Диего, штат Калифорния, подверглась атаке вируса-вымогателя, в результате которой все ИТ-системы компании были отключены. Подробнее здесь.

Хакеры взломали Quanta Computer и требуют выкуп в $50 млн

В конце апреля 2021 года известная банда хакеров-вымогателей REvil заявила, что украла данные тайваньского производителя Quanta Computer, в том числе чертежи продуктов Apple. Подробнее здесь.

Производитель устройств для IoT Sierra Wireless остановил заводы из-за атаки вируса-вымогателя

В конце марта 2021 года канадский производитель устройств для Интернета вещей (IoT) Sierra Wireless остановил производство после того, как стал жертвой атаки программы-вымогателя. Атака также нарушила внутренние операции, и веб-сайт компании прекратил работу. Подробнее здесь.

Атака вируса-вымогателя REvil на Acer, выкуп в размере в $50 млн

В конце марта 2021 года стало известно, что компанию Acer атаковал вирус-вымогатель REvil. Хакеры потребовали от компании выкуп размером $50 млн. Подробнее здесь.

На медучреждения в РФ впервые обрушились атаки вирусов-вымогателей

В начале февраля 2021 года стало известно о первых атаках вирусов-вымогателей на российские больницы. Хакеры используют такие вредоносные программы для шифрования пользовательских данных и кражи важных сведений, заявил замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ, создан по приказу ФСБ для борьбы с угрозой хакерских атак на инфраструктуру России) Николай Мурашов. Подробнее здесь.

2020

Доходы распространителей вирусов-вымогателей оценен в $400 млн

Совет национальной безопасности США подсчитал, что доходы хакеров по всему миру, которые использовали вирусы-вымогатели, в 2020 году составил $400 млн. Данные опубликованы на сайте Белого дома в октябре 2021 года.

Инциденты с вирусамами-вымогателями нарушили работу важнейших служб и предприятий по всему миру, пострадали: школы, банки, государственные учреждения, службы спасения, больницы, энергетические компании, транспорт и предприятия пищевой промышленности. Вирусы атаковали организации любого размера, независимо от их местонахождения. Глобальные экономические потери от вредоносных программ значительны, отмечают эксперты.

Доходы распространителей вирусов-вымогателей оценен по итогам 202о года в $400 млн

Администрация президента США Джо Байдена прилагает целенаправленные комплексные усилия для борьбы с этой угрозой. Работа организована по следующим направлениям:

  • Уничтожение инфраструктуры и действующих лиц, распространяющих вымогательское ПО: Администрация задействует все возможности правительства США, чтобы уничтожить участников, организаторов, сети и финансовую инфраструктуру вирусов-вымогателей;

  • Повышение устойчивости для противостояния атакам вирусов-вымогателей: администрация призвала частный сектор увеличить инвестиции и сосредоточиться на киберзащите, чтобы противостоять этой угрозе. Администрация также определила ожидаемые пороговые уровни кибербезопасности для критической инфраструктуры и ввела требования кибербезопасности для критической инфраструктуры транспорта;

  • Борьба со злоупотреблением виртуальной валютой для отмывания выкупных платежей: На виртуальную валюту распространяются те же меры контроля по борьбе с отмыванием денег и финансированием терроризма (AML/CFT), которые применяются к фиатной валюте и эти меры контроля, эти законы должны соблюдаться.

  • Использовать международное сотрудничество для разрушения экосистемы вирусов-вымогателей и устранения безопасных гаваней для преступников, использующих компьютерный вирус:

По данным Check Point Research, за 12-месячный период, начавшийся в октябре 2020 года, во всем мире число компаний, столкнувшихся с атаками программ-вымогателей, увеличилось на 57%, а с начала 2021 года число таких атак растет на 9% ежемесячно. Согласно статистике ИИ-стартапа Deep Instinct, общее количество атак с применением вымогателей выросло на 435% в 2020 году. При помощи этого типа вирусов хакерам удалось остановить работу 560 медицинских центров, 1,6 тыс. школ и колледжей, а также более, чем 1,3 тыс. иных организаций, заявляет ИБ-компания Emsisoft.[32]

50% ритейлеров в мире столкнулась с атаками кибервымогателей

В середине августа 2021 года вышел отчет аналитической фирмы Sophos, согласно которому в 2020 году около 44% предприятий розничной торговли пострадали от атак вирусов-вымогателей. Более половины из пострадавших (54%) сообщили, что киберпреступникам удалось зашифровать их данные.

Тактика розничных продавцов, чьи данные оказались зашифрованы, была различна: 32% заплатили выкуп, чтобы вернуть свои данные, причем средний размер выкупа составил $147,8 тыс., а 56% использовали резервные копии для восстановления данных. Однако исследование Sophos, также показало, что заплатившие выкуп компании получили в среднем лишь 67% своих данных, то есть треть украденной информации так и осталась недоступна. Лишь 9% организаций, заплативших выкуп, получили обратно все свои зашифрованные данные.

50% ритейлеров в мире столкнулась с атаками кибервымогателей по итогам 2020 года

Средний счет за устранение атаки вирусов-вымогателей в этом секторе (с учетом времени простоя, оплаты труда, стоимости устройств, упущенных возможностей, уплаченного выкупа и т. д.) составил $1,97 млн.

Sophos также обнаружила, что розничные организации оказались особенно уязвимы к новому виду атак, когда операторы программ-вымогателей не шифруют файлы, а просто угрожают утечкой извлеченной информации в Интернет, если выкуп не будет выплачен в срок. Атаки такого типа отмечали 12% жертв вирусов-вымогателей.

«
Сравнительно высокий процент атак на организации розничной торговли не так уж удивителен. Компании из отрасли услуг хранят информацию, которая регулируется строгими законами о защите данных, и злоумышленники охотно используют страх жертвы перед утечкой этих данных, которая грозит штрафами и ущербом репутации бренда, - отметил главный научный сотрудник Sophos Честер Вишневски (Chester Wisniewski).[33]
»

Вирусы-вымогатели выманили $350 млн - Chainalysis

В начале февраля 2021 года аналитическая компания Chainalysis выпустила отчет, согласно которому в 2020 году хакеры получили не менее $350 млн при использовании вирусов-вымогателей. Эти данные компания получила путем отслеживания транзакций по адресам блокчейнов, связанных с атаками программ-вымогателей.

Однако Chainalysis уточнила, что ее оценка указывает лишь на минимальную сумму, истинные цифры до сих пор неизвестны, поскольку жертвы не всегда предпочитают открыто говорить о перенесенных атаках вирусов-вымогателей и последующих платежах.

Вирусы-вымогатели в 2020 году выманили $350 млн

Согласно данным Chainalysis, в 2020 году на платежи вследствие атак вымогателей пришлось 7% всех средств, полученных «преступными» криптовалютными адресами. Эти цифры выросли на 311% по сравнению с 2019 годом, и аналитики Chainalysis считают, что резкий рост связан с появлением новых вирусов, «резко увеличивающих прибыль». По данным компании, самые крупные выкупы получали такие группы вирусов-вымогателей, как Ryuk, Maze, Doppelpaymer, Netwalker, Conti и REvil (также известный как Sodinokibi). Тем не менее, другие вирусы, такие как Snatch, Defray777 (RansomExx) и Dharma, также принесли хакерам прибыль, оцениваемую в миллионы долларов.

Chainalysis предполагает, что вирусы-вымогатели используются меньшим количеством злоумышленников, чем предполагалось изначально, причем многие из этих групп постоянно меняют RaaS («программа-вымогатель как услуга»), соблазняясь более выгодными предложениями.

Chainalysis также сообщил, что группа из пяти обменных порталов получает 82% всех средств от программ-вымогателей в 2020 году. Правоохранительные органы могут использовать эту информацию, чтобы прервать поток операций по отмыванию денег, полученных хакерами.[34]

Атака вируса-вымогателя на британскую сеть косметологических клиник Transform Hospital Group

В конце декабря 2020 года стало известно, что хакеры украли данные британской сети косметологических клиник на 900 Гб и угрожают опубликовать откровенные фотографии пациентов до и после операции. Сеть клиник Transform Hospital Group подтвердила атаку вируса-вымогателя и проинформировала полицию о нарушении. Подробнее здесь.

Атака вируса-вымогателя на производителя электротехники Foxconn

В начале декабря 2020 года стало известно, что тайваньский производитель электроники Foxconn стал жертвой атаки вируса-вымогателя. Хакерская группировка DoppelPaymer потребовала у компании $34,7 млн в биткойнах за доступ к заблокированным серверам и резервным копиям. Подробнее здесь.

Атака вируса-вымогателя на ИТ-компанию Sopra Steria

В конце ноября 2020 года французский ИТ-гигант Sopra Steria признал, что октябрьская атака вируса-вымогателя обойдется компании в десятки миллионов долларов. Компания сообщила, что атака негативно повлияет на ее валовую прибыль за 2020 год, снизив ее на сумму от 40 млн евро до 50 млн евро. При этом около 30 млн евро убытков будут покрыты специальной страховкой, отметили в компании. Подробнее здесь.

Атака вируса-вымогателя на школы Балтимора

В конце ноября 2020 года государственные школы округа Балтимор были вынуждены отменить занятия из-за атаки вируса-вымогателя. Согласно местным сообщениям, вирус вывел из строя всю сеть школьной системы. Форма вируса-вымогателя, использованного в атаке, не разглашается, но известно, что хакеры потребовали выкуп. Подробнее здесь.

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год. Такие данные 25 ноября 2020 года обнародовали в компании Group-IB, специализирующейся на предотвращении кибератак.

По словам экспертов, упомянутая сумма — это минимум. Реальный ущерб может быть в несколько раз больше, поскольку зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертв, говорится в исследовании.

Group-IB: ущерб от вирусов-шифровальщиков в мире превышает $1 млрд в год

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%, порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%).

В пятерку отраслей, которые чаще всего подвергаются атакам шифровальщиков, входят:

  • производство (94 жертвы);
  • ритейл (51 жертва);
  • государственные учреждения (39 жертв);
  • здравоохранение (38 жертв);
  • строительство (30 жертв).

Наиболее опасными шифровальщиками названы Maze и REvil — с конца 2019 года по конец ноября 2020-го на них приходится более 50% успешных атак. За ними идут Ryuk, NetWalker, DoppelPaymer.

Согласно оценкам Group-IB, за последний год к концу ноября 2020-го публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира.

В исследовании отмечается, что катализатором роста атак таких вирусов стали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Еще одной причиной их роста становится то, что используемые компаниями средства кибербезопасности «пропускают» шифровальщиков, не справляясь с обнаружением и блокировкой угроз на ранней стадии. Операторы шифровальщиков выкупают доступ и атакуют жертву.[35]

Свыше 1 млрд долларов — суммарный ущерб от «шифровальщиков»

Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Аналитики резюмируют: наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков. Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем в два раза вырос объем рынка по продаже краденых банковских карт. В гонке противостояния проправительственных хакерских групп появились новые игроки, а считавшиеся сошедшими со сцены — возобновили атакующие действия.

Согласно отчету Hi-Tech Crime Trends 2020-2021, конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации.

Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).

Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.

По информации Group-IB, с конца 2019 года вымогатели взяли на вооружение следующую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.

В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.

С другими выводами Group-IB, собранными в рамках отчета Hi-Tech Crime Trends 2020-2021, можно ознакомиться в рамках специализированных статьях TAdviser:

  • Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Читать далее - здесь.
  • Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Читать далее - здесь.
  • Объем рынка кардинга за исследуемый период вырос на 116% — с $880 млн до $1,9 млрд — по сравнению с 2019 годом. Высокие темпы роста характерны как для текстовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Читать далее здесь.
  • В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия. Читать далее - здесь.

В целом отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ритейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.

Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем. Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.

Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Атака вируса-вымогателя на Compal

В начале ноября 2020 года Compal пережила атаку вируса-вымогателя. Хакеры потребовали у крупнейшего контрактного производителя ноутбуков $17 млн выкупа. Подробнее здесь.

Атака вируса-вымогателя на Mattel

Компания Mattel, производитель кукол «Барби», заявила 4 ноября 2020 года о том, что она стала жертвой атаки вируса-вымогателя, но ей удалось отразить ее и избежать серьезных последствий. Подробнее здесь.

Атака вируса-вымогателя на Software AG

10 октября 2020 года стало известно о том, что немецкая технологическая компания Software AG подверглась масштабной атаке вируса-вымогателя. Хакеры потребовали выкуп в размере $23 млн после кражи данных о сотрудниках, а также документов компании. Подробнее здесь.

Власти США начинают штрафовать компании за оплату выкупа при атаках вирусов-вымогателей

В начале октября 2020 года Управление по контролю за иностранными активами Минфина США (OFAC) представило руководство для жертв вирусов-вымогателей. В ведомстве отметили, что оплата выкупа атакующим, в отношении которых действуют санкции США, а также связанным с ними кибермошенникам, будет считаться нарушением санкций, за которое предполагается штраф.

В документе отмечается, что после оплаты выкупа в отношении компании, организации, физического лица, финансовой организации, через которую были переведены средства, а также компаний, занимающихся страхованием киберрисков и расследованием киберинцидентов может быть инициировано судебное разбирательство в связи с нарушением санкций. Речь идет о тех случаях, когда атака была осуществлена хакерскими группировками, включенными в санкционный список, либо связанными с ними.

Власти США будут взимать штраф с компаний за оплату выкупа при атаках вирусов-вымогателей

В случае атаки жертвам рекомендуется незамедлительно обращаться в Управление по контролю за иностранными активами (OFAC) Минфина США, так как судебное разбирательство в отношении нарушителей может в конце концов привести к серьезным штрафам.

Известно, что в санкционном списке находятся: Lazarus Group, Евгений Богачев (вирус-вымогатель Cryptolocker), Али Хорашадизаде и Мохаммад Горбаниян (программа-вымогатель SamSam), Максим Якубец и созданная им хакерская группировка EvilCorp (программа Dridex), Bluenoroff и Andariel (связаны с программой-вымогателем WannaCry), а также троян-вымогатель BitPaymer.

В ведомстве также отметили, что в случае, если вымогатели попадают под санкции США, обращение пострадавшей компании в правоохранительные органы станет «существенным смягчающим фактором» для нее. Однако, в заявлении отмечается также, что представленное руководство «носит только пояснительный характер и не имеет законодательной силы».[36]

Атака вируса-вымогателя на Tyler Technologies

В конце сентября 2020 года компанию Tyler Technologies, которая поставляет ИТ-решения для государственных и местных органов власти всех штатов США, атаковал вирус-вымогатель. Tyler Technologies сообщает, что кибератака поразила только внутренние системы компании и не затронула клиентов. Подробнее здесь.

Атака вируса-вымогателя на немецкую больницу

В середине сентября 2020 года стало известно, что из-за атаки вируса-вымогателя впервые погиб человек. После кибератаки на немецкую больницу с использованием программы-вымогателя пациентов пришлось срочно перевести в другое медучреждение. Во время транспортировки одна из пациенток скончалась. Подробнее здесь.

Атака вируса-вымогателя на Equinix

В середине сентября 2020 года крупнейшего в мире оператора дата-центров Equinix атаковал вирус-вымогатель. Equinix заявил, что кибератака не нарушила работу центров обработки данных, а команда кибербезопасности компании уже предприняла необходимые действия, уведомила правоохранительные органы и продолжает расследование. Подробнее здесь.

Атака вируса-вымогателя на школы штата Коннектикут

В начале сентября 2020 года школы в Хартфорде, штат Коннектикут, не смогли открыть свои двери ученикам из-за атаки вируса-вымогателя, который отключил критически важные ИТ-системы. Мэр Хартфорда назвал инцидент «самой крупной и значимой вирусной атакой в городе за последние пять лет». Программа-вымогатель не повлияла на учебные платформы студентов, но повредила ряд других систем, имеющих отношение к учебе, в том числе к составлению маршрутов школьных автобусов. Подробнее здесь.

Атака вируса-вымогателя на BancoEstado

В начале сентября 2020 года BancoEstado, один из трех крупнейших банков Чили, был вынужден закрыть все отделения после атаки вируса-вымогателя. Подробности атаки не разглашаются, но источник, близкий к расследованию, сообщил, что внутренняя сеть банка была заражена вирусом REvil (Sodinokibi). Подробнее здесь.

Атака вируса-вымогателя на украинскую ИТ-компанию SoftServe

В начале сентября 2020 года стало известно об атаке вируса-вымогателя на SoftServe. В результате кибернападения системы одной из крупнейших украинских ИТ-вышли из строя. Подробнее здесь.

Атака вируса-вымогателя на Университет Юты

19 августа 2020 года Колледж социальных и поведенческих наук Университета штата Юта стал жертвой вируса-вымогателя. Руководство учебного заведения заплатило хакерам выкуп в размере $457 тыс., так как в результате атаки злоумышленники получили доступ к конфиденциальным данным сотрудников и студентов. Подробнее здесь.

Атака вируса-вымогателя на Carnival

В середине августа 2020 года крупнейший в мире круизный оператор Carnival стал жертвой вируса-вымогателя, в результате чего данные клиентов попали в руки хакеров. Кибератака произошла 15 августа и была обнаружена компанией в тот же день. Неизвестные хакеры зашифровали часть систем и скачали файлы данных одного бренда. Подробнее здесь.

Атака вируса-вымогателя Revil на Brown-Forman

17 августа 2020 года стало известно о том, что компания Brown-Forman, известная по выпуску виски Jack Daniel's, подверглась атаке вируса-вымогателя Revil, в результате которой хакерам удалось похитить 1 Тбайт корпоративных данных. Подробнее здесь.

Атака вируса-вымогателя RansomEXX на Konica Minolta

17 августа 2020 года стало известно об атаке вируса-вымогателя на Konica Minolta. В результате этого хакерского нападения некоторые ИТ-системы компании вышли из строя, а часть оборудования было заблокировано. Подробнее здесь.

Вирус-вымогатель заблокировал серверы Canon. Хакеры завладели 10 Тбайт данных пользователей

5 августа 2020 года стало известно об атаке вируса-вымогателя на компанию Canon. Хакеры украли 10 Тбайт данных, остановлена работа десятков американских серверов Canon, а также внутренних корпоративных платформ компании. Подробнее здесь.

Garmin заплатила выкуп в $10 млн за восстановление систем после атаки вируса-вымогателя

В конце июля 2020 года компания Garmin стала жертвой атаки вируса-вымогателя. Производитель навигационных устройств заплатил хакерам выкуп в $10 млн за восстановление работы всех сервисов. Подробнее здесь.

Кража данных Adif в результате атаки хакеров REvil

25 июля 2020 года стало известно об атаке вируса-вымогателя на испанскую железнодорожную госкомпанию Adif, в задачи которой входит управление железнодорожной инфраструктурой и взимание оплаты с операторов. В результате нападения было украдено 800 Гбайт данных. Подробнее здесь.

Кража данных Orange Business Services в результате атаки хакеров Nefilim

16 июля 2020 года стало известно об атаке-вируса вымогателя на системы Orange. Злоумышленникам удалось похитить данные клиентов. Подробнее здесь.

Атака вируса-вымогателя на Xerox: хакеры требуют выкуп

В начале июля 2020 года стало известно, что участники хакерской группировки Maze взломали ИТ-системы Xerox, угрожают выложить персональные данные в открытый доступ и требуют выкуп у компании. Подробнее здесь.

Калифорнийский университет заплатил выкуп в $1 млн после атаки вируса-вымогателя

В начале июля 2020 года Калифорнийский университет в Сан-Франциско (UCSF) заплатил выкуп в размере $1,14 млн, чтобы восстановить важные академические файлы, заблокированные вирусом-вымогателем. Подробнее здесь.

Вирус-вымогатель Honda вывел из строя ИТ-систему на трёх заводах

9 июня 2020 года Honda сообщила об остановке производства автомобилей и мотоциклов по всему миру после того, как компания пережила кибератаку. Подробнее здесь.

Производитель банкоматов Diebold Nixdorf подвергся атаке вируса-вымогателя

11 мая 2020 года стало известно об атаке вируса-вымогателя на компанию Diebold Nixdorf, что привело к сбою в работе некоторых систем компании. Подробнее здесь.

Вирус-вымогатель атаковал Fresenius и привёл к сбою в производстве

В начале мая 2020 года стало известно, что вирус-вымогатель атаковал Fresenius Group и заразил по крайней мере одну из ИТ-систем компании. Подробнее здесь.

Американские медучреждения за 5 лет потеряли $157 млн

В середине февраля 2020 года стало известно, что американские медучреждения за пять лет потеряли $157 млн из-за более чем 170 атак вирусов-вымогателей. Подробнее здесь.

Вирус-вымогатель атаковал американского оператора газопровода

В середине февраля 2020 года стало известно, что вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки. Дата нападения не сообщается, но даются технические рекомендации для других операторов критически важных объектов инфраструктуры, которые позволят принять соответствующие меры предосторожности.

Согласно отчету американского МВД, инцидент произошел после того, как "хакер использовал фишинг-соединение для получения доступа к информационной сети организации, а затем проник в операционную сеть". Если информационная сеть в основном предназначена для офисной и другой административной работы, то операционная сеть позволяет управлять критически значимым заводским оборудованием и другими производственными операциями.

Вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки

Получив доступ к операционной сети, злоумышленник запустил вируса-вымогателя, который зашифровывал все доступные данные компании одновременно в информационной и операционной сетях, а затем запросил выкуп. Согласно отчету, вирус не влиял на программируемые логические контроллеры, которые представляют собой небольшие датчики и устройства, напрямую взаимодействующие с заводским оборудованием. Тем не менее, операторы не могли получить доступ к другим данным, что привело к сбою работы.

Оператор трубопровода решил временно прекратить работы в качестве меры предосторожности, чтобы избежать нежелательных инцидентов, хотя аварийный план не требовал обязательного отключения оборудования в случае кибератаки. Деятельность оператора газопровода была остановлена на два дня, после чего работники возобновили деятельность в обычном режиме. Регулирующие органы отметили, что план реагирования объекта на чрезвычайные ситуации основное внимание уделял угрозам физической безопасности, а не кибератакам, поэтому персонал не смог адекватно отреагировать на возникшую ситуацию. Оператор газопровода пообещал пересмотреть свои внутренние процедуры и стандарты.[37]

Строительный гигант из Франции Bouygues Construction стал жертвой вируса-вымогателя

В начале февраля 2020 года одна из крупнейших строительных компаний Франции Bouygues Construction подтвердила, что стала жертвой вируса-вымогателя, обнаруженного во внутренней сети компании 30 января. Подробнее здесь

2019

Group-IB назвала топ-3 вымогателей года

2 июня 2020 года стало известно о том, что количество атак вирусов-шифровальщиков в 2019 году по сравнению с 2018 годом возросло на 40%, в то время как размер среднего требуемого выкупа взлетел в разы, говорится в опубликованном исследовании Group-IB «Программы-вымогатели: методы атак шифровальщиков». По данным Лаборатории компьютерной криминалистики Group-IB, самыми «жадными» шифровальщиками стали семейства Ryuk, DoppelPaymer и REvil. Поскольку тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы, а их цели сместились в корпоративный сектор, 2020 год может установить антирекорд по количеству атак и размеру ущерба.

Как сообщалось, после сравнительного затишья в 2018-м году, в 2019-м году вирусы-шифровальщики попытались взять реванш: количество атак с использованием вымогателей возросло на 40%. Жертвами оказывались крупные цели — муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа резко взлетел с $8 000 в 2018-м до $84 000. По данным Group-IB, самыми агрессивными и жадными шифровальщиками в 2019 году были семейства Ryuk, DoppelPaymer и REvil — их единовременные требования о выкупе достигали $800 000.

В 2019-м году операторы шифровальщиков стали использовать некоторые тактики, техники и процедуры (TTPs), характерные для APT-групп. Одним из заимствованных приемов, стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете. Таким методом пользовались операторы семейств REvil, Maze и DoppelPaymer.

Частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети: в 2019 году экспертами Group-IB было зафиксировано использование большого числа троянов в кампаниях шифровальщиков, в том числе троянов Dridex, Emotet, SDBBot и Trickbot.

В 2019-м году большинство операторов шифровальщиков стали использовать инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.

В целом, как отмечают эксперты, в 2019 году операторы вымогателей вышли на следующий уровень — их действия больше не ограничивались лишь шифрованием файлов. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа.

В 2019-м году в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

Фишинговые письма остались одним из наиболее распространенных векторов первичной компрометации, чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое, среди прочего, загружало один из троянов (FlawedAmmyy RAT или SDBBot).

В 2019 году количество доступных серверов с открытым портом 3389 превысило 3 миллиона, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.

В 2019-м году атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплоитов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.

Некоторые злоумышленники, в том числе операторы шифровальщиков Shade (Troldesh) и STOP, сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие, в том числе операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma, не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.

Полный список тактик, техник и процедур, упомянутых в отчете приведен в таблице ниже, которая построена на основе матрицы MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Они расположены в порядке от самых популярных (выделены красным) до наименее популярных (выделены зеленым).

Таблица TTPs операторов шифровальщиков, построенная на базе матрицы MITRE ATT&CK
«
В 2019-м году операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели и увеличивая свои доходы, и есть все основания полагать, что в 2020 году их результаты будут еще более высокие. Операторы вымогателей продолжат расширять пул своих жертв, фокусируясь на крупных индустриях, у которых больше ресурсов, чтобы удовлетворить их аппетиты. Возросшая активность шифровальщиков ставит бизнес перед выбором: либо инвестировать средства в свою кибербезопасность, чтобы сделать свою инфраструктуру недосягаемой для злоумышленников, либо рискнуть столкнуться с требованием выкупа для дешифровки файлов и поплатиться за изъяны в кибербезопасности.

рассказал Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB
»

Несмотря на возросший масштаб кампаний шифровальщиков, им можно противостоять, реализуя необходимые меры предосторожности. Они в числе прочего включают подключение к серверам по RDP только с использованием VPN, создание сложных паролей для учетных записей, использующихся для доступа по RDP, и их регулярную смену, ограничение списка IP-адресов, с которых могут быть инициированы внешние RDP-соединения и др.

Более 100 госслужб в США подверглись атакам вирусов-шифровальщиков

11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в 2019 году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний. Подробнее здесь.

Крупнейшая в мире сеть обмена валют прекратила работу из-за кибератаки. Хакеры требуют выкуп в $6 млн

В конце декабря 2020 года на Travelex была совершена кибератака, которая привела к приостановке работы крупнейшей в мире сети обмена валют. Хакеры утверждают, что они похитили 5 Гбайт «ценных данных клиентов», и угрожают выставить их на продажу, если не получат выкуп в размере $6 млн к 14 января 2020 года. Подробнее здесь.

База береговой охраны США атакована вирусом-вымогателем

В конце декабря 2019 года база береговой охраны США была атакована вирусом-вымогателем, который вывел из строя камеры, системы контроля доступа к дверям и системы мониторинга. Подробнее здесь.

Атака вируса-вымогателя на госорганы в Новом Орлеане

15 декабря 2019 года власти города Новый Орлеан (штат Луизиана) ввели режим чрезвычайного положения из-за массовой кибератаки хакеров на государственные органы. Об этом сообщила мэр города Латоя Кантрелл в своем официальном аккаунте в социальной сети Twitter. Подробнее здесь.

CyrusOne атаковал вирус-вымогатель

В начале декабря 2019 года одного из крупнейших в США оператора дата-центров — компанию CyrusOne — атаковал вирус-вымогатель. У клиентов начались массовые сбои. Подробнее здесь.

Шифровальщик, написанный на языке PureBasic, атакует Windows- и Linux-серверы

18 ноября 2019 года стало известно, что эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux.

Обращает на себя внимание язык программирования, на котором он написан, - PureBasic. Это далеко не самый распространённый язык программирования; с другой стороны он, во-первых, кросс-платформенный, во-вторых, как ни странно, многие антивирусы с трудом справляются с написанными на нём программами.

«
Необычный выбор обеспечивает злоумышленникам ряд преимуществ, - пишут исследователи. - Вендоры антивирусных продуктов с трудом справляются с генерацией надёжных сигнатур для бинарных файлов PureBasic. Вдобавок, код PureBasic легко портируется на Windows, Linux, OS X, что упрощает атаки на различные платформы,
»

PureBasic поддерживает даже AmigaOS.

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению.

Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из неё. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами.

Исследователи отметили, что это распространённая методика ухода от обнаружения, но шифровальщики ей пользуются весьма редко.

Кроме того, вредонос вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker - никаких диалоговых окон пользователю не выводится.

Позднее шифровальщик проверяет, что действительно был произведён запуск regsrv32.exe, что файловое расширение - .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 год и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

Если же шифровальщика «всё устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.

Здесь ещё одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищённой почты Proton - с целью переговоров.

Эксперты считают, что PureLocker - это лишь один этап комплексной цепочки заражения.

При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, - DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил очередной набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.

«
Решение это не лишено даже некоторого изящества. Проще добавить «неожиданную» функцию к уже существующему набору и сделать вредонос ещё более опасным, чем писать с нуля шифровальщик узконаправленного действия, который умеет противиться обнаружению и анализу. Для потенциальных жертв, однако, это «изящество» сулит только ещё большие неприятности, чем раньше. Функция шифровальщика, по-видимому, предназначена буквально для добивания жертвы, которую злоумышленники успевают ограбить ранее с помощью других своих программ,
считает Анастасия Мельникова, эксперт по ИБ компании SEQ (ранее SEC Consult Services)[38]
»

Атака вируса-вымогателя на нефтяную компанию Pemex

11 ноября 2019 года Pemex сообщила об атаке вируса-вымогателя на свои компьютеры, в результате которой мексиканская государственная нефтегазовая группа вынуждена была прекратить административную работу. Подробнее здесь.

Атака вируса-вымогателя на испанские компании по всей стране

В начале ноября 2019 года направленные атаки вируса-вымогателя вывели из строя две испанские компании в один день: крупную фирму Everis, принадлежащую NTT Data Group и работающую в сфере ИТ-услуг и консалтинга, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER). Атака хакеров вызвала настоящую панику в СМИ, так как многие компании вспомнили эпидемию WannaCry. Технический специалист одной фирмы признался испанской телекомпании ABC: «Мы в настоящей истерике». Подробнее здесь.

Атака вируса-вымогателя на финансовый центр ЮАР

24 октября 2019 года в ходе целенаправленной кибератаки хакеры взломали компьютерную сеть города Йоханнесбург (ЮАР). Они заблокировали данные городской администрации и обещали вернуть их только после выплаты выкупа. Подробнее здесь.

Вирус-вымогатель заразил сотни стоматологических клиник в США

В конце августа 2019 года стало известно об атаке вируса-вымогателя на сотни стоматологических клиник в США. Те вынуждены были заплатить выкуп за дешифрование файлов, однако процесс восстановления проходит медленно. Несколько дней дантисты находились в вынужденном простое из-за блокировки своих компьютерных систем. Подробнее здесь.

Атака вирусов-вымогателей на госорганы Техаса

Примерно 23 правительственных учреждений в Техасе пострадали от беспрецедентной скоординированной атаки вирусов-вымогателей, которая началась 16 августа 2019 года. Подробнее здесь.

В США ввели режим чрезвычайного положения после атаки вирусов-вымогателей на школы

В конце июля 2019 года правительство штата Луизиана объявило чрезвычайное положение после многочисленных атак вирусов-вымогателей на школы с севера штата. Из-за кибератак, начавшихся 23 июля 2019 года, были заблокированы данные на школьных компьютерных системах в трех округах. Подробнее здесь.

Жители Йоханнесбурга остались без электричества из-за вируса-вымогателя

25 июля 2019 года жители финансовой столицы ЮАР Йоханнесбург остались без электричества из-за вируса-вымогателя - вредоносной программы, которая блокирует доступ к компьютерным системам или файлам до тех пор, пока не будет удовлетворено требование хакера. Вирус заблокировал все базы данных, приложения и ИТ-сети главной энергокомпании города City Power, оставив без электричества практически весь Йоханнесбург. Подробнее здесь.

Ещё один город во Флориде заплатил выкуп в $0,5 млн после атаки вируса-вымогателя

В конце июня 2019 года стало известно о том, что администрация города Лейк-Сити в штате Флорида согласилась заплатить $490 тыс. хакеру за разблокировку компьютерных систем после атаки вирусв-вымогателя.

Лейк-Сити пережил хакерское нападение 10 июня 2019 года. Спустя 10 минут после атаки власти города, насчитывающего 65 тыс. жителей, отключили ИТ-системы. В результате населённый пункт остался без телефонной связи на один день, правда, смог наладить приём звонков в экстренные службы через специальную систему.

Лейк-Сити согласился на выкуп, чтобы разблокировать компьютеры, пораженные шифровальщиком

К 25 июня часть компьютерных систем, поражённых вредоносной программой, удалось восстановить, но работа электронной почты и телефонной связи осталась парализованной.

В городской администрации приняли решение заплатить выкуп в размере 42 биткоинов. Большую часть этой суммы возместит страховая компания Florida League of Cities, с которой был заключен договор страхования киберрисков. Соглашение включает франшизу в $10 тыс. — её власти перечислят Florida League of Cities, а затем они получат от страховой компании всю сумму, отправленную киберпреступнику.

После передачи выкупа распространитель вируса-вымогателя предоставил ключ расшифровки, который позволил восстановить электронные системы. При этом некоторые письма e-mail вернуть не получилось. Проводится расследование.

За одну неделю Лейк-Сити стал вторым после Ривьеры-Бич городом во Флориде, который согласился на выкуп после атаки вируса-вымогателя. Подобных кибернападений в США становится всё больше.

По данным ФБР, в 2018 году было зарегистрировано 1493 атаки с помощью вирусов-вымогателей, в результате которых хакерам было выплачено около $3,6 млн. С начала 2019 года по конец июня атакам подверглись более 20 американских городов. Некоторым из них удалось справиться с проблемой без выплаты мошенникам.[39]

Город во Флориде заплатил хакерам $600 тыс. после атаки вируса-вымогателя

В середине июня 2019 года городской совет города Ривьера-Бич (штат Флорида) заплатил хакерам более $600 000 долларов, чтобы городские власти могли восстановить данные, которые оставались заблокированными и зашифрованными более трех недель.

Город был вынужден принять это решение, когда официальные лица пришли к выводу, что другого способа восстановить городские документы не существует. Администрации также пришлось заплатить $ 941 000 за покупку новых компьютеров.

Город во Флориде заплатил хакерам $600 тыс. и закупил новые ПК на $941 тыс. после атаки вируса-вымогателя

Доступ к данным администрации Ривьера-Бич был заблокирован 29 мая 2019 года, когда сотрудник полицейского управления открыл электронное письмо с вирусом-вымогателем и случайно запустил его в локальную сеть. Вирус заблокировал файлы и остановил работу всех городских служб, кроме экстренной службы спасения. Веб-сайт города, почтовый сервер и все остальные системы были недоступны в течение трех недель, а все городские коммуникации осуществлялись лично, по телефону или с помощью постеров.

Городские власти провели первое совещание 3 июня и приняли решение закупить 310 настольных и 90 портативных компьютеров и другое оборудование, необходимое для восстановления ИТ-инфраструктуры города после инцидента. Первоначально администрация не собиралась платить преступникам, но вскоре стало понятно, что иначе доступ к файловой системе не получить. На следующем собрании чиновники единогласно проголосовали за то, чтобы перечислить мошенникам необходимую сумму. Местное издание сообщило, что на голосование ушло меньше пары минут.

Ривьера-Бич считается пригородом Палм-Бич. В 2018 году другой местный пригород, Палм-Спрингс, также был вынужден заплатить вымогателям, однако эти меры не помогли – в результате хакерской атаки городская администрация потеряла все данные за два года.[40]

Вирус-вымогатель остановил производство деталей для самолётов на заводах в четырёх странах

В середине июня 2019 года ASCO Industries, один из крупнейших в мире поставщиков запчастей для авиационной техники, прекратил производство на заводах в четырех странах из-за вируса-вымогателя, появившегося на производственной площадке в Завентеме, Бельгия. Подробнее здесь.

Вирусы-вымогатели атаковали британскую полицию

В конце марта 2019 года британская полиция призналась, что стала жертвой кибератаки. Вирусы-вымогатели поразили электронные системы полиции 9 марта 2019 года: резервные копии были удалены, файлы и электронная почта оказались зашифрованы и недоступны.

Решение отложить публичное заявление было связано с защитой расследования, в котором участвуют Национальное агентство по борьбе с преступностью (NCA) и Национальный центр кибербезопасности (NCSC). По словам полиции, неразглашение было крайне важно для расследования на ранних этапах, когда эксперты пытались определить причину неполадок и выяснить, были ли извлечены данные.

Вирусы-вымогатели атаковали британскую полицию. Резервные копии удалены, файлы и электронная почта недоступны

Полиция также привлекла BAE Systems, чтобы помочь с расследованием. Эксперты компании считают, что кибератака была нецеленаправленной и относилась к «более широкой кампании». На данном этапе расследования не выявлено никаких доказательств того, что из полицейских систем были извлечены какие-либо данные, но эту возможность нельзя сбрасывать со счетов. Пока что риск извлечения или незаконного использования данных считается низким, но полиция обещает предупредить всех заинтересованных лиц при появлении какой-либо значимой информации, говорится в публикации издания Computer Business Reveiw от 22 марта 2019 года.

Макс Хейнемейер (Max Heinemeyer), директор по поиску угроз в Darktrace, отметил, что после атаки Norsk Hydro отмечается возрождение вирусов-вымогателей. Опасность таких вирусов заключается в том, что даже атаки малообученных хакеров могут иметь разрушительные последствия. При этом эксперты отмечают, что даже коммерческие антивирусы не всегда способны выявить такие кибератаки.

Поэтому ИБ-специалисты советуют правоохранительным органам регулярно создавать резервные копии важных файлов и постоянно проверять возможность их восстановления. Организации также должны обучать своих сотрудников: по возможности воздерживаться от загрузки пиратского программного обеспечения или платного программного обеспечения, предлагаемого «бесплатно».[41]

Власти американского округа заплатили $400 тыс. выкупа распространителям вируса-вымогателя

В начале марта 2019 года власти округа Джексон в штате Джорджия выплатили $400 000 киберпреступникам, чтобы избавиться от вируса-вымогателя и восстановить доступ к своим ИТ-системам.

Вирус проник во внутреннюю сеть округа 1 марта 2019 года и привел к отключению большинства ИТ-систем местного правительства, за исключением его веб-сайта и системы экстренной помощи 911. Власти не прекратили работу, а вернулись к обычной бумажной документации. Кроме того, они уведомили ФБР и наняли консультанта по кибербезопасности.

Консультант провел переговоры с распространителями вируса, и в результате округ Джорджия заплатил хакерам выкуп за получение ключа расшифровки и восстановление доступа к файлам. Чиновники немедленно занялись дешифровкой зараженных файлов и чисткой серверов.

В начале марта 2019 года власти округа Джексон в штате Джорджия выплатили $400 000 киберпреступникам, чтобы избавиться от вируса-вымогателя и восстановить доступ к своим ИТ-системам

По словам консультанта, власти округа могли и не платить вымогателям, но тогда восстановление системы заняло бы несколько месяцев, и на него ушла бы не меньшая сумма, чем та, что в результате попала в руки хакеров. Подобные случаи уже отмечались. К примеру, власти Атланты в штате Джорджия потратило несколько миллионов на восстановление сети, стоимость которой в результате возросла с $2,6 млн до $17 млн. Кроме того, округ Джексон заплатил далеко не самый крупный выкуп — этот рекорд установила южнокорейская веб-хостинговая компания Internet Nayana, которая выплатила хакерам $1,14 млн после кибератаки в июне 2017 года.

Консультант определил, что вымогатели, поразившие сеть округа Джексон, известны как банда Ryunk. Они действует из Восточной Европы и в течение 2018 года несколько раз проводили кибератаки на местные органы власти, здравоохранение и крупные корпоративные сети. Вирусы-вымогатели Ryuk обычно появляются в сетях после заражения вредоносными программами Emotet или Trickbot.

[42]

ESET зафиксировала атаку программы-вымогателя Shade на российские компании

13 февраля 2019 года ESET сообщил об очередной разновидности атаки программы-вымогателя Shade, нацеленной на российские компании.

Программа распространяется через спам-рассылку. Письма маскируются злоумышленниками под уведомления от известных брендов.

Во вложении таких писем находится ZIP-архив, который содержит JavaScript-файл под названием «Информация.js»; после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами ESET как Win32/Injector. В свою очередь, загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh), который шифрует широкий спектр файлов на локальных дисках.

На компьютере жертвы сохраняется инструкция по оплате выкупа в TXT-файле, сообщение написано на русском и английском языках.

Антивирусные решения ESET NOD32 детектируют программу как Win32/Filecoder.Shade.

На февраль 2019 года вымогатель Shade проявляет наибольшую активность в России (более 52% от всех обнаруженных вредоносных вложений). Также атаке подверглись пользователи Германии, Японии и Украины.

2018

В аэропорту два дня расписание рейсов писали от руки на доске из-за вируса-вымогателя

Вирус-вымогатель на два дня оставил аэропорт Бристоля без информационных табло и заставил сотрудников почти все выходные вручную писать расписание рейсов на доске. Об этом в середине сентября 2018 года сообщило издание ZDNet.

Инфекция распространилась утром в пятницу, 14 сентября. Это следует из сообщений в социальных сетях, в которых администрация аэропорта предупреждала пассажиров о необходимости приезжать заранее, с запасом времени для прохождения регистрации.

В Бристольском аэропорту два дня не работали информационные табло из-за хакерской атаки

Всю пятницу, субботу, а также ночь на воскресенье сотрудникам аэропорта пришлось писать время прилета и вылета рейсов на листах бумаги формата A3 и на маркерных досках.

Выступая перед местными СМИ, представители администрации аэропорта заявили, что не намерены выполнять требований злоумышленников, распространивших вирус. Вместо того, чтобы платить выкуп, было решено отключить систему, пока специалисты восстанавливают пострадавшие компьютеры. Также в руководстве воздушной гавани заверили, что вирусная атака не привела к задержкам рейсов.

К утру воскресенья, 16 сентября, все системы, затронутые инфекцией, удалось восстановить, и информационные табло снова заработали.

«
Мы благодарны пассажирам, которые проявили терпение, пока мы решали проблему с информационными табло на этих выходных. Теперь работа всех табло восстановлена, и информацию о прилётах и вылетах рейсов можно снова видеть на экранах, — написали сотрудники бристольского аэропорта в Twitter-блоге, в подтверждение приложив фотографии полноценно функционирующих дисплеев.[43]
»

Меньше месяца назад, в конце августа 2018 года сотрудникам лондонского аэропорта Гатвик тоже пришлось вручную писать информацию о вылетающих и прилетающих самолетах. Правда, в тот раз работу табло нарушил не вирус, а повреждение ВОЛС у оператора Vodafone, в результате которого данные перестала поступать на дисплеи. Из-за сбоя в системе некоторые пассажиров опоздали на свои рейсы.[44]

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остается привлекательной стратегией для злоумышленников. В 2017 году три вспышки вирусов-вымогателей – WannaCrypt, Petya/NotPetya и BadRabbit – стали причиной заражения множества корпоративных сетей, в том числе в больницах, транспортных системах и системах управления дорожным движением. Атаки программ-вымогателей, которые мы наблюдали в прошлом году, были крайне разрушительными и развивались стремительно, оставляя большую часть жертв без доступа к своим файлам на длительное время.

В России в среднем 0,13% устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14%. Чаще всего с таким видом угроз сталкивались пользователи в Азии. Самая высокая частота обнаружения вирусов-вымогателей – в Мьянме (0,48%), Бангладеше (0,36%) и Венесуэле (0,33%). Ниже всего этот показатель оказался в Японии, Финляндии и США (0,03%).

Больница выплатила $55 тыс. кибервымогателям

В начале января 2018 года клиника Hancock Health в американском городе Гринфилде, Индиана, подверглась хакерской атаке с помощью вируса-шифровальщика SamSam, который парализовал работу медучреждения в самый разгар эпидемии гриппа в штате. Чтобы быстрее восстановить данные, руководство больницы заплатило вымогателям выкуп в размере 4 биткоинов, что на момент выплаты составило порядка $55 тыс. Подробнее здесь.

2017

Интерпол выяснит, кто стоит за атаками Bad Rabbit

Group-IB, международная компания по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, 2 ноября 2017 года объявила об обнаружении цифровых следов злоумышленников, причастных к атаке вируса-шифровальщика Bad Rabbit, который атаковал редакции ряда федеральных российских СМИ и финансовые организации, а также объекты инфраструктуры на Украине (метрополитен, аэропорт, Министерство инфраструктуры).

Нобору Накатани и Илья Сачков подписали соглашение о сотрудничестве между Интерполом и Group-IB

В соответствии соглашением об обмене информацией, недавно подписанным между Интерполом и Group-IB, эти данные переданы специальному подразделению международной полиции, курирующему расследования киберпреступлений, Interpol Global Complex for Innovation. Соглашение подразумевает взаимный обмен информацией для более эффективного противодействия киберпреступности. В частности, организации будут следить за изменениями тенденций в киберпространстве, появлением новых угроз и развитием существующих, а также распространением вредоносных программ.

По итогам технического анализа вируса-шифровальщика Bad Rabbit эксперты Group-IB получили информацию об источнике и способах распространения вредоносной программы, проанализировали ее структуру и функции и пришли к выводу, что за Bad Rabbit и эпидемией вируса NotPetya, атаковавшего в июне 2017 года энергетические, телекоммуникационные и финансовые компании на Украине, стоит одна и та же группа хакеров. В ходе исследования специалисты обнаружили цифровые следы, которые позволят установить конкретных лиц, причастных к этой атаке. Часть данных со взломанных сайтов передавалась на сервер, который был скомпрометирован с помощью тех же техник, которая использовала северокорейская прогосударственная группа хакеров Lazarus. Для проведения полноценного расследования информация была передана в подразделение Интерпола.

«
Для того чтобы эффективно бороться с современными киберугрозами, необходимо выстраивать государственно-частное партнерство, — считает Нобору Накатани (Noboru Nakatani), исполнительный директор Interpol IGCI. — Соглашение, подписанное между Интерполом и Group-IB — это важный шаг в организации процесса предоставления правоохранительным органами по всему миру информации, необходимой им для работы в условиях сложного ландшафта и многообразии киберугроз.
»

Вымогатель Bad Rabbit атаковал российские СМИ и украинские госучреждения

Согласно отчету Check Point Software Technologies, 24 октября 2017 года российские СМИ и украинские государственные учреждения пострадали от кибератак вымогателя Bad Rabbit. Среди других жертв оказались Турция и Болгария.

Вымогатель BadRabbit требует от жертв выкуп в размере 0,05 биткоинов (около $280) за первые 40 часов заражения, после чего цена, вероятно, начинает расти до неизвестных пределов.

Шифровальщик распространяется через фальшивый установщик программного обеспечения Flash, который, как утверждается, появляется как всплывающее окно с официального сайта новостей в России. При нажатии всплывающее окно переадресует жертву на вредоносный сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы).

Вымогатель использует программное обеспечение с открытым кодом под названием DiskCryptor (доступно на GitHub) для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое эксперты Check Point наблюдали до сих пор между двумя зловредами, во всех других аспектах BadRabbit — совершенно иной и уникальный вид вымогателя, подчеркнули в компании.

После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor.

При вводе пользовательского ключа на сайте оплаты каждый пользователь получает уникальный биткоин-кошелек, на который просят перевести 0,05 биткоина.

По утверждению Check Point, как в случае с WannaCry и Petya, атака Bad Rabbit может быть предотвращена. Заказчики Check Point, использующие продукты Check Point Threat Emulation blade и Check Point Anti-Virus blade, защищены от этой угрозы.

Вымогатель Locky поразил 11,5% организаций по всему миру

Компания Check Point Software Technologies в сентябре 2017 года зафиксировала значительное увеличение числа атак Locky. По результатам Global Threat Impact Index, вымогатель поразил 11,5% организаций во всем мире.

Locky не появлялся в десятке самых активных зловредов с ноября 2016 года, но в сентябре 2017 года стремительно поднялся, оказавшись на втором месте при помощи ботнета Necurs, который тоже вошел в рейтинг, заняв 10 место. Эти атаки подняли Locky на 25 мест, выше оказался только рекламный зловред RoughTed.

Для справки: Locky начал распространяться в феврале 2016 года и быстро стал одним из самых активных в мире вредоносных семейств. В основном он распространяется через спам-письма, содержащие загрузчик с вредоносными макросами, замаскированный под вложение Word или Zip. Когда пользователи активируют эти макросы — обычно под действием социальной инженерии, приложение загружает и устанавливает вредоносное ПО, которое шифрует файлы. Сообщение направляет пользователя на загрузку браузера Tor и открывает веб-страницу с требованием оплаты выкупа в биткойнах. В июне 2016 года ботнет Necurs выпустил обновленную версию Locky, содержащую расширенный набор методов для обхода обнаружения.

По мнению экспертов Check Point, возрождение Locky показывает, что компании не могут быть спокойны, пока вредоносное ПО существует. Мощные ботнеты могут вдохнуть "вторую жизнь" в старые варианты зловредов, позволяя им быстро поражать пользователей по всему миру. Тот факт, что в сентябре 2017 года каждая десятая организация во всем мире была поражена хотя бы одним видом вымогателей, говорит о том, что существующие вредоносные программы могут быть так же опасны, как и абсолютно новые варианты, подчеркнули в компании.

Топ-10 самых активных зловредов сентября 2017 по версии Check Point

  1. RoughTed — крупномасштабная кампания вредоносной рекламы, используется для переадресации пользователей на зараженные сайты и загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Зловред может быть использован для атаки на любые типы платформ и операционные системы; способен обходить блокировку рекламы.
  2. Locky — вымогатель, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, которое затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
  3. Globeimposter — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
  4. Conficker — червь, позволяющий злоумышленникам удаленно выполнять операции в системе жертвы и загружать вредоносное ПО. Зараженная машина контролируется ботнетом.
  5. Fireball — зловред ("угонщик браузера"), без ведома пользователя подменяющий стартовую страницу интернет-браузера, легко модернизируется до полнофункционального загрузчика вредоносного ПО.
  6. Pushdo — троян, который применяется для инфицирования системы жертвы с последующей загрузкой спам-модуля Cutwail, а также для загрузки стороннего вредоносного ПО.
  7. Zeus — банковский троян, который посредством атаки «Человек-в-браузере» крадёт данные банковских карт и учетные данные жертвы, используемые для проведения финансовых операций.
  8. Rig ek — набор эксплоитов, впервые обнаруженный в 2014 году. Содержит эксплоиты для Flash, Java, Silverlight и Internet Explorer (браузер). Цепь заражений начинается с перенаправления на landing page (от англ. landing page — посадочная страница), содержащую JavaScript, который проверяет систему жертвы на предмет наличия уязвимых плагинов и при обнаружении таковых — внедряет эксплоит.
  9. Ramnit — банковский троян, нацеленный на похищение банковских реквизитов, FTP-паролей, сеансовых куки и персональной информации жертвы.
  10. Necurs — ботнет, применяемый для распространения вредоносного ПО путем спам-рассылок средствами электронной почты. В основном замечен за продвижением программ-вымогателей и банковских троянов.


HackerDefender — пользовательский руткит для Windows, который был третьим по распространенности вредоносным ПО в августе 2017 года, покинул первую десятку.

Топ-3 самых активных мобильных зловредов по версии Check Point

  1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  2. Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  3. Lotoor — хакерский инструмент, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Исследование Positive Technologies

Эксперты Positive Technologies отмечают, что во II квартале 2017 года продолжают набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия по-прежнему наиболее частые жертвы кибератак, однако во II квартале 2017 года больше четверти атак (28%) были масштабными и затронули одновременно десятки стран и сотни (в отдельных случаях тысячи) компаний.

По статистике Positive Technologies, 67% атак были совершены с целью получения прямой финансовой выгоды. При этом больше половины атак носили массовый характер и использовали преимущественно вредоносное программное обеспечение.

Эпидемия вируса-вымогателя WannaCry (WanaCypt0r, WCry) показала, что стать жертвой атаки можно даже если не открывать подозрительные письма и не кликать по ссылкам в них. По данным Intel, общее количество зараженных компьютеров превысило 530 тысяч. На биткойн-кошельки разработчиков WannaCry от жертв поступило более 50 BTC (128 000 долл. США), при этом общий ущерб компаний составил более миллиарда долларов.

Другая масштабная вредоносная кампания в конце июня была вызвана шифровальщиком NotPetya (также известным под именами ExPetr, PetrWrap, Petya, Petya.A и др.). Отличительной чертой этой эпидемии было то, что целью преступников не была финансовая выгода, они не стремились рассылать ключ восстановления в обмен на выплаты. ВПО распространялось для вывода из строя информационных систем, уничтожения файлов и саботажа. Более 40 жертв заплатили выкуп на общую сумму, эквивалентную 10 000 долл. США.

Тренд «вымогатели как услуга» (ransomware as a service) набирает обороты. Появляются новые сервисы по сдаче троянов в аренду: например, дистрибьютор Petya или Mischa получает от 25% до 85% от суммы платежей жертв, а другой троян-шифровальщик Karmen продается на черном рынке за 175 долларов.

Пока одни злоумышленники предпочитают криптовалюту для получения незаконных доходов (жертвам троянов-шифровальщиков предлагается перечислять деньги на биткойн-кошельки), другие атакуют криптовалютные биржи и счета их клиентов. Например, получив доступ к персональным данным 31 800 пользователей южнокорейской биржи Bithumb, злоумышленники затем смогли получить доступ и к их счетам. Потери от этой атаки оценили в 1 миллиард вон (890 000 долл. США). В ходе другой атаки, на Tapizon, злоумышленники получили доступ к четырем кошелькам и в общей сложности похитили около 3816 биткойнов (5,3 млн долл. США).

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв.

Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года

Компания Google совместно с Chainalysis, Калифорнийским университетом Сан-Диего и Политехническим институтом Нью-Йоркского университета подсчитали сумму, выплаченную жертвами создателям вирусов–вымогателей. Об этом сообщает издание The Verge[45].

Исследователи проанализировали 34 семейства вирусов–вымогателей, работающих с 2014 года. Больше всего дохода принес вирус-вымогатель Locky, жертвы выплатили разработчикам более $7 млн. Заработок разработчиков шифровальщиков Cerber сотавил $6,9 млн, а CryptXXX - $1,9 млн.

Исследователи отмечают, что создатели вирусов-вымогателей научились обходить антивирусную защиту. После идентификации вредоносного приложения в антивирусное ПО добавляется сигнатура для обнаруженного вредоноса. Однако, современные образцы вирусов способны модифицировать собственный бинарный код, и таким образом, обходить антивирусную защиту, основанную на сигнатурах.

Россия больше не в фокусе программ-вымогателей

Согласно отчету «Лаборатории Касперского», опубликованному 26 июня, Россия вышла из списка топ-10 государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями. По итогам отчетного периода (сравниваются итоги периодов 2015-2016 гг. и 2016-2017 гг.) наша страна уступила место Турции, Вьетнаму и Японии. Доля вымогателей в общем числе заражений мобильными зловредами в России снизилась до 0,88% (в 2015-2016 годах этот показатель составлял 4,91%), указали в антивирусной компании.

Такое резкое падение аналитики «Лаборатории Касперского» объясняют двумя факторами: ростом количества атак вредоносного ПО в целом, на фоне которого доля шифровальщиков растворилась; а также снижением активности трояна Small, традиционно атакующего, в первую очередь, Россию и страны постсоветского пространства.

В целом число пострадавших от троянов, шифрующих файлы, в мире выросло практически вдвое — с 718 536 в 2015–2016 гг. до 1 152 299 в 2016-2017 гг. Количество жертв всех программ-вымогателей за тот же период выросло на 11,4%: с 2 315 931 до 2 581 026.

По оценкам экспертов антивирусной компании, атаки шифровальщиков всё более нацелены на финансовую и промышленную инфраструктуру. Это объясняется тем, что, целевые вредоносные атаки на организации рассматриваются преступниками как более прибыльные, нежели массовые атаки на рядовых пользователей.

«Недавние вспышки эпидемий троянов WannaCry в мае и ExPetr в июне этого года, поразившие тысячи компьютеров коммерческих компаний и правительственных организаций по всему миру, лишь подтверждают наши опасения», — отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Как известно, в нынешнем году произошли две масштабные кибератаки с использованием вымогательского ПО. В мае вымогатель WannaCry парализовал работу компьютеров в более 150 странах мира. В конце июня атакам вымогательского ПО NotPetya подверглись российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.[46]

Украинских пользователей атакует новый шифровальщик, выдающий себя за WannaCry

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков. Новая вымогательская программа пытается выдавать себя за печально известный WannaCry, но на деле не имеет к нему никакого отношения. [47]

В течение мая-июня на территории Украины были отмечены три вредоносные кампании: XData, PSCRypt, NotPetya. И вот теперь появилась некая новая программа, пока не получившая названия.

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков

Она выводит на экран требование о выкупе, идентичное тому, что выводил WannaCry, но этим сходство и ограничивается. Как указывают исследователи, проводившие анализ программы, она написана на .NET, а не на С, как WannaCry; его внутренняя структура не имеет ничего общего со структурой WannaCry, и, кроме того, программа не использует никаких знаменитых эксплойтов, созданных американскими спецслужбами для распространения.

Обычно использование .NET для создания вредоносного ПО - это признак невысокой квалификации программиста. В данном случае, как написал эксперт по безопасности, скрывающийся под ником MalwareHunter, авторы вредоносной программы в высшей степени компетентны, а их творение – «возможно, один из лучших примеров шифровальщика на .NET, который мы видели».

Программа заражает систему через дроппер, который локально распаковывает и сохраняет два разных файла. В одном - требование о выкупе, во втором - сам шифровальщик.

Программа управляет спрятанным в сети Tor контрольным сервером и запускается, судя по всему, только после получения команды с него. Троянец также отключает процессы приложений, чьи файлы собирается шифровать, - данная функция, как отмечает исследователь, уникальна. [48]

В материале Bleeping Computer авторы обращают внимание на странную тенденцию: во всех четырёх кампаниях используется ПО, которое пытается выдавать себя за что-то иное. Например, XData - это в действительности слегка переработанный шифровальщик AES-NI, PSCrypt - переделанный GlobeImposter, появившийся в апреле этого года. NotPetya выдавал себя за Petya, но оказался не шифровальщиком, а вайпером - восстановить доступ к файлам было невозможно даже после выплаты выкупа. И вот теперь ещё один шифровальщик, который выдаёт себя за нечто иное. Что это означает и являются ли все эти совпадения случайными - предмет дискуссионный.

Компания согласилась заплатить $1 млн кибервымогателям

14 июня 2017 года южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов.

«
Мы завершили переговоры с хакером и теперь готовим деньги для покупки биткоинов, чтобы восстановить работу зашифрованных серверов, — приводит слова гендиректора Nayana Хвана Чилхона (Hwang Chil-hong) издание The Korea Herald.
»

Южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов

Nayana намерена заплатить около $1,1 млн в биткоинах за восстановление данных на серверах, пораженных вредоносным ПО — вирусом-шифровальщиком, который заблокировал хранящиеся на компьютерах файлы.

Как пояснили в Nayana, решение о выплате было принято, чтобы спасти 3400 сайтов своих клиентов, большинство из которых являются небольшими компаниями и стартапами.

В интервью местным СМИ глава Nayana посетовал, что у компании нет другого выбора, кроме как выполнить требования.

«
Мы понимаем, что не должны платить выкуп, но иначе ущерб будет нанесен сотням тысяч людей из компаний, которые мы обслуживаем, — заявил он.
»

Однако специалисты в области информационной безопасности (ИБ) считают, что своими действиями Nayana создает опасный прецедент. Увидев успех «коллег», другие злоумышленники могут активизировать кибератаки на Корею в погоне за легкими деньгами, предупреждают ИБ-эксперты.

Выкуп Nayana в $1,1 млн почти в 1000 раз больше средней суммы, которые платили жертвы кибервымогателям в 2016 году. По данным Symantec, злоумышленники, шифрующие данные с помощью вредоносного ПО, в среднем требовали у пользователей $1077.

У Nayana нет никаких гарантий того, что, получив деньги, преступник восстановит доступ к файлам. Если даже хакеры не расшифруют данные, компания не сможет ничего предпринять, отмечают специалисты.

Эксперты призвали корейские власти сделать все возможное, чтобы поймать злоумышленников и не допустить подобных атак в будущем.[49]

Глобальная хакерская атака WannaCry 12 мая

Вирус-вымогатель WannaCry начал распространяться 12 мая, затронул 74 страны мира, на компьютеры было совершено более 45 тыс. попыток занести вирусы, которые шифровали все файлы. За дешифровку мошенники требуют $600. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК РФ. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.

Исследование "Лаборатории Касперского"

Согласно наблюдениям специалистов «Лаборатории Касперского», жертвами программ-вымогателей все чаще становятся не частные пользователи, а компании и финансовые учреждения: на сегодня компании известны по меньшей мере восемь кибергруппировок, занимающихся разработкой троянцев-вымогателей для проведения целевых атак на бизнес. В ряде случаев требуемый выкуп достигает полумиллиона долларов.

По словам экспертов, причина трансформации проста: целевые атаки потенциально более прибыльны, чем массовые нападения на частных пользователей. Успешная атака на компанию может парализовать ее деятельность на несколько часов или даже дней – владельцы бизнеса оказываются просто вынуждены заплатить выкуп.

Схемы и инструменты злоумышленников довольно универсальны. Все кибергруппировки сначала заражают сеть компании вредоносным ПО через уязвимости в серверах или фишинговые письма. Затем атакующие укрепляют свои позиции в сети и определяют наиболее ценные корпоративные ресурсы, за «захват» которых можно получить самый большой выкуп.

Однако у групп есть и уникальные черты: например, троянец Mamba использует свободное ПО для шифрования, которое устанавливается на компьютерах жертв посредством легальной утилиты для удаленного управления системой Windows. А авторы троянца PetrWrap отличаются особенно тщательным выбором жертв и долгой подготовкой к атаке: их скрытое присутствие в сети достигает шести месяцев.

Обнаружена модифицированная версия троянца-шифровальщика Petya

Эксперты «Лаборатории Касперского» обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya, обнаруженный «Лабораторией Касперского» в 2016 году, — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ransomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно. Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

«Мы наблюдаем очень интересный процесс: киберпреступники стали нападать друг на друга. С нашей точки зрения, это признак растущей конкуренции между различными группировками. Отчасти это хорошо, ведь чем больше времени злоумышленники проводят в борьбе друг с другом, тем менее организованными и эффективными будут их атаки и они сами, — прокомментировал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского». — В случае с PetrWrap нас беспокоит тот факт, что троянец-шифровальщик используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими».

Для защиты организации от целенаправленных атак «Лаборатория Касперского» рекомендует предпринять ряд мер. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.

Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.

Троянцы-шифровальщики могут уничтожать целые корпорации

Целые компании могут быть уничтожены в результате атаки шифровальщиков-вымогателей, — такой безрадостный прогноз делает генеральный директор компании Sophos Крис Хагерман (Kris Hagerman). Выступая на конференции RSA в Сан-Франциско, он отметил, что сценарий, при котором злоумышленники атакуют банк и требуют выплатить 10 млн долларов, в противном случае угрожая уничтожить все файлы на серверах организации, сегодня уже не выглядит фантастикой.[50]

За последние 12 месяцев уже были случаи, когда организации выплачивали вымогателям огромные суммы за возвращение доступа к своим данным. Например, больница в Лос-Анджелесе призналась, что выплатила около 17 тысяч долларов после того, как её инфраструктура была атакована троянцем-шифровальщиком. В начале этого года администрация муниципального колледжа (также в Лос-Анджелесе) выплатила злоумышленникам 28 тысяч долларов.

Крис Хагерман
«
Не так сложно представить банк, атакованный шифровальщиком, и затем они (злоумышленники) говорят: немедленно платите 10 млн долларов, в противном случае ваши файлы будут уничтожены, - говорит Хагерман. - Это может поставить компании на колени. Во многих организациях есть проблемы с резервным копированием и далеко не все используют весь диапазон защитных средств, необходимый для борьбы с вымогателями.
»

Ситуацию дополнительно осложняет то обстоятельство, что в Сети плодятся сайты, предлагающие всем желающим средства для проведения атак с помощью троянцев-шифровальщиков. Например, сервис Satan предлагает за комиссию организовывать атаки с помощью шифровальщиков каждому, кто знает как пользоваться Tor - The Onion Router, - никаких других специальных технических знаний "клиенту" Satan не требуется.

«
Сегодня можно быть очень успешным киберпреступником, не зная о компьютерном коде ровным счётом ничего. У хакеров тоже есть ROI. Затрудните им заработок, и они пойдут искать другие мишени или другие способы зарабатывать, - отметил Хагерман.
»

Sophos ежедневно отмечает 300-400 тысяч новых вредоносным программ, и каждая из них может представлять серьёзную угрозу для коммерческих компаний, если у тех не налажена защита в достаточной степени.

По мнению Хагермана, единственный способ уберечься от атак - это наладить защиту таким образом, чтобы хакеры предпочли искать другую жертву.

«
Каждая атака, завершившаяся выплатой злоумышленникам требуемой суммы, укрепляет их в сознании прибыльности их бизнеса, и повышает угрозу в целом, - комментирует Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - И поскольку всё чаще пострадавшие от вымогателей организации готовы выплачивать пятизначные суммы за возвращение своих данных, легко представить себе, как злоумышленники требуют от какой-нибудь транснациональной корпорации миллионы в качестве выкупа.
»

По словам Гвоздева, крупные утечки персональных данных у транснациональных корпораций, таких как Sony или Yahoo, хорошо показывают насколько велики бывают недостатки безопасности даже в тех организациях, которые могут позволить себе обеспечить максимальную защиту от киберугроз.

Программы-вымогатели для промышленных систем

13 февраля исследователи кибербезопасности из Технологического института Джорджии сообщили о разработке новой, специализированной формы программы-вымогателя, которая была целенаправленно создана для промышленных систем[51].

Это вредоносное ПО и произведенная с его помощью атака на смоделированную водоочистную станцию были призваны показать, как киберпреступники могли бы вывести из строя ключевые сервисы, удовлетворяющие наши важнейшие потребности, такие как электро- и водоснабжение, отопление, вентиляция и кондиционирование воздуха или управление лифтами.

Исследование было представлено на конференции в Сан-Франциско, организованной компанией RSA.

Исследователи рассказали, как они идентифицировали ряд обычных программируемых логических контроллеров (PLC), часто используемых на промышленных предприятиях. Приобретя три различных устройства, исследователи протестировали их уровни безопасности, включая состояние парольной защиты и подверженность вредоносным изменениям.

Затем PLC были подключены к насосам, трубам и резервуарам, чтобы смоделировать водоочистную станцию. Однако вместо хлора, используемого для дезинфекции воды, исследователи применили йод и подмешали в воду крахмал.

Если бы атакующий добавил в воду йод, она окрасилась бы в голубой цвет.

Смоделированная атака с помощью программы-вымогателя, заражающей системы обычными способами через фишинговые сообщения электронной почты и ссылки на вредоносные сайты, закрыла и заперла важнейшие системы. Если бы настоящий атакующий применил программу-вымогателя, чтобы взять станцию в заложники, он мог бы угрожать добавлением в воду опасного для жизни количества хлора, что потенциально могло бы отравить целые города.

Исследователи сумели также атаковать PLC, чтобы закрыть клапаны и фальсифицировать показания датчиков. Изучая доступность этих PLC, исследователи обнаружили также 1400 экземпляров PLC одного типа, к которому легко получить доступ через Интернет. Многие из этих устройств находились за корпоративными брандмауэрами. Но это делает их защищенными лишь до тех пор, пока поддерживается безопасность сети.

Хотя против встроенных промышленных систем пока осуществлено немного настоящих атак с использованием программ-вымогателей, мы уже видели, как такие программы применялись против больниц и имели тяжелые последствия. В некоторых случаях размер требуемого выкупа ничто по сравнению с вредом, который причинило бы продолжение атаки. Применительно к больницам это может создать угрозу жизни людей, как и в случае с взятием в заложники систем водоснабжения.

2016

Trend Micro: Киберпреступники заработали от программ-вымогателей 1 млрд долларов

Компания Trend Micro представила в июне 2017 года краткое содержание и основные выводы отчета «Программы-вымогатели: прошлое, настоящее и будущее» (Ransomware: Past, Present, and Future).

Подробнее об исследовании см. Кибератаки


Первая атака с использованием программы-вымогателя была зафиксирована в России между 2005 и 2006 гг. В сообщении хакеры требовали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы с наиболее распространенными расширениями: .DOC, .XLS, .JPG, .ZIP, .PDF и т.д. Позднее появились разновидности программ-вымогателей, способные зашифровать данные на мобильных устройствах и даже повлиять на работу главной загрузочной записи. В конце 2013 г. появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп, например, такие как CryptoLocker.

Основные выводы отчета и прогнозы компании:

  • За 2016 г. количество семейств программ-вымогателей выросло на 752%.
  • В 2016 г. средняя сумма выкупа за возвращение доступа к файлам составила 0,5−5 биткоинов.
  • Атаки программ-вымогателей сегодня становятся все более целенаправленными, а в качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов/ страниц в Интернете (20%), а также наборы эксплойтов.
  • Основной акцент злоумышленников смещается – с 2015 г. главной целью программ-вымогателей становятся на частные лица, а бизнес.
  • Программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег.
  • При атаке на бизнес, злоумышленники чаще всего зашифровывают базы данных компании, на втором месте - SQL файлы.
  • В будущем возможно появление разновидностей программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями (ICS).

График ежемесячного прироста количества семейств программ-вымогателей, (2016)


Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:

  • В сентябре в результате атаки программы-вымогателя на муниципалитет города Спрингфилд (штат Массачусетс, США), его файлы были недоступны 10 дней.
  • В сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам.
  • В ноябре муниципалитет округа Мэдисон (штат Нью-Йорк, США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов.
  • В ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско (San Francisco Municipal Transportation Agency), власти были вынуждены сделать проезд на общественном транспорте в городе бесплатным на определённое время.
  • В ноябре программа-вымогатель зашифровала порядка 33 тыс. файлов в системе муниципалитета округа Хауард (США).
  • В декабре клиника East Valley Community Health Center в США подверглась атаке программы-вымогателя, в результате которой пострадали записи около 65 тыс. человек. Они содержали личную информацию, медицинские данные и данные страховки.

Для того, чтобы минимизировать возможные риски и защититься от программ-вымогателей Trend Micro рекомендует:

  • Регулярно делать резервное копирование данных. При этом создавать три копии, в двух форматах, одну из копий необходимо хранить без доступа к Сети.
  • Регулярно обновлять используемое на устройствах ПО.
  • Проводить обучение персонала, освещая тему фишинга.
  • Ограничить доступ к конфиденциальной информации в компании.
  • Не платить выкуп.
  • Использовать современные решения для информационной защиты, которые включают в себя сетевой мониторинг, технологии анализа поведения, защиту от уязвимостей и т.д.

ЛК: 75% шифровальщиков созданы русскоязычными хакерами

Из 62 семейств программ-шифровальщиков, обнаруженных «Лабораторией Касперского» в 2016 году, по меньшей мере 47 были созданы русскоговорящими киберпреступниками. В общей же сложности от подобных зловредов по данным компании, пострадало около 1,5 миллионов пользователей во всем мире, включая различные организации.

О происхождении большинства шифровальщиков экспертам «Лаборатории Касперского» стало известно после пристального изучения андеграундного сообщества русскоязычных вирусописателей и их «партнеров». Русскоговорящая киберпреступная среда активно развивается, и на смену небольшим группировкам с ограниченными возможностями приходят большие коалиции, обладающие всеми необходимыми ресурсами для атак на любые цели по всему миру, в том числе на крупные предприятия. Бурный рост числа «русских» программ-шифровальщиков стал возможен именно благодаря этому фактору — развитой и гибкой экосистеме киберпреступного сообщества.

«Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов — это самые привилегированные участники андеграундного сообщества. Другая группа людей развивает и поддерживает партнерские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты. На низшей же ступени этой иерархии находятся собственно «партнеры» — киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа.

По данным «Лаборатории Касперского», ежедневная выручка, получаемая киберпреступниками в рамках одной партнерской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60% выручки — это чистая прибыль.

«Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью — достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — рассказывает Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Вирус-вымогатель Петя (Petya)

В начале апреля 2016 года стало известно, что разработчики вирусов-шифровальщиков нашли новый способ сделать несчастными своих жертв. F-Secure, компания специализирующаяся на разработке систем кибербезопасности, 4 апреля 2016 г. выпустила предупреждение о "Пете"[52], новом виде вируса-шифровальщика, который блокирует весь жесткий диск компьютера вместо простого шифрования файлов на диске, как это делают другие подобные компьютерные вирусы.

По словам F-Secure, "Петя" шифрует MFT файловой системы, делая для операционной системы невозможным обнаружение нужных файлов, таким образом приводя компьютер в полностью неработоспособное состояние. MFT (англ. Master File Table — «Главная файловая таблица») — база данных, в которой хранится информация о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов.

«Вирус устанавливает себя на главную загрузочную запись диска (MBR). Но вместо скрытых действий, он показывает красный экран с инструкцией о том, как восстановить систему», - написал главный специалист F-Secure по безопасности Джарко Теркулойнен.
Image:ransom_petya.jpg

Вирус-шифровальщик Петя (Petya) вероятно разработан в России

Атака на MFT занимает меньше времени, чем шифрование файлов на диске, при этом приводя к тем же результатам, добавил в комментариях к Dark Reading консультант по безопасности F-Secure Шон Салливан.

«Многие другие крипто-шифровальщики требуют времени и мощности процессора» сказал Салливан.

Жертвы подобных атак, на самом деле, часто сообщают что их компьютеры сильно тормозят во время атаки. В то время как домашние пользователи могут не знать, что вызвало снижение производительности, работники на предприятиях иногда имеют достаточно времени чтобы предотвратить полную потерю данных. С "Петей" это больше не вариант.

«Петя способен ударить по MFT за считанные секунды, перед тем как обрушить систему и выполнить перезагрузку. В условиях работы на предприятии, времени позвать на помощь не будет.»

Для своих жертв "Петя" представляет проблемы, нехарактерные для других вирусов-шифровальщиков. Поскольку Петя заражает MBR, он блокирует всю систему полностью. Поэтому жертве требуется найти другой компьютер с доступом в интернет чтобы заплатить вымогателю и восстановить доступ к своей скомпрометированной системе. Хотя это может само по себе не представлять проблемы для работников в офисе, у домашних пользователей это может вызвать затруднения, рассказал Салливан.

Петя также возлагает на пользователя задачу самостоятельно скачать браузер Tor - The Onion Router для доступа к скрытой ссылке для производства оплаты. «Петя не пытается предоставить прокси ссылки для службы Tor - The Onion Router» тем самым показывая, что авторов вредоносного кода не заботят сложности по установке Tor браузера, или просто они еще не создали данный функционал.

В какой-то степени, из-за того, что жертвам труднее заплатить вымогателю, авторы Пети возможно снижают свои шансы заработать на нем, сказал Салливан. Как результат, вероятность того что этот тип атаки получит более широкое распространение, будет зависеть от успеха авторов вируса в извлечении прибыли от "Пети".

«Это будет зависеть от того, смогут ли люди разобраться как заплатить. У вируса определенно есть некоторые преимущества в том, как он заражает систему. Поэтому мы вероятно увидим больше подобной активности, но еще слишком рано говорить, станет ли это распространённым явлением», - сказал Салливан.

Новости о "Пете" пришли посреди возросшего количества[53] опасений по поводу увеличения количества вирусов-шифровальщиков и их атак в последние месяцы. Многие верят, что успех авторов вирусов-шифровальщиков привлекает больше преступников, включая организованные преступные группы в сферу кибер-вымогательства. В последние месяцы, такие примеры вирусов-шифровальщиков как "Локки"[54], "ТеслаКрипт" и "Самас", заразили огромное количество индивидуальных пользователей и организаций, включая некоторые крупные госпитали США.

Большая волна атак заставила Министерство национальной безопасности США выпустить предупреждение [55] совместно с канадским Центром реагирования на кибер-происшествия, для информирования пользователей и организаций о серьезности данной угрозы. Предупреждение, сообщало пользователям и организациям о «опустошительных последствиях» атак вирусов-шифровальщиков.

«Восстановление может быть сложным процессом, в ходе которого потребуются услуги квалифицированного специалиста по восстановлению данных», - говорилось в предупреждении.

Для защиты от подобных кибер-атак частным лицами и организациям рекомендуется внедрить план по резервному копированию и восстановлению важных данных и использовать «белый список» чтобы быть уверенным, что на компьютере могут запускаться только специально разрешенные приложения. Другой совет заключается в том, чтобы поддерживать свое ПО в актуальном состоянии, регулярно устанавливая обновления и патчи, а также ограничить возможность установки и запуска приложений для пользователей.

2012

Злоумышленники достаточно долго не могли «распробовать» шифровальщиков как инструмент вымогательства денег у домашних и корпоративных пользователей, но когда вошли во вкус, процесс пошел живее. С 2012 года число выявляемых шифровальщиков начало довольно быстро расти. Одновременно с этим стали совершенствоваться и методы использования различных алгоритмов шифрования.

Для работы с первыми шифровальщиками не требовались дополнительные инструменты, но для борьбы с образцами 2012 года такой номер уже не проходил. Наиболее популярные энкодеры того времени — Trojan.Encoder.94/102 и их модификации. В первом случае данные шифровались относительно простым симметричным алгоритмом, а вот 102-й не кодировал, а, скорее, ломал данные, отчего полноценная расшифровка оказывалась невозможна. Но некоторые типы файлов удавалось восстановить с помощью созданной специалистами компании «Доктор Веб» утилиты.

2005-2009

Первый вирусный инцидент с троянцами семейства Trojan.Encoder был зафиксирован в мае 2005 года. Но простой ал- горитм шифрования не сделал его особо эффективным — поврежденные троянцем файлы без особого труда лечились антивирусной программой. Не вызвал он особого ажиотажа и в среде злоумышленников — до лета 2007 года в вирусной базе Dr.Web антивирус было менее 10 записей для энкодеров. И все они также не требовали к себе какого-то «особого» отношения — зашифрованные файлы восстанавливались непосредственно антивирусом, без привлечения дополнительных утилит.

Вплоть до 2009 года появление различных вариаций было, скорее, «пробой пера» злоумышленников, постоянно находившихся в поиске новых методов атак на ПК и сети. В самом деле, создать серьезный шифровальщик, результаты деятельности которого не будут дешифроваться «на лету» или за очень короткий срок, — задача нетривиальная. А для вирусописателей-одиночек, на которых до недавнего времени держался мир вредоносного ПО, — просто непосильная. Ведь троянец-шифровальщик, как и следует из названия, кодирует файлы, а значит, именно навыки криптографии нужны его создателю в первую очередь.

Также стоит отметить ключевое отличие троянцев от компьютерных вирусов. Первые — самостоятельные приложения, а не «паразиты», цепляющиеся к файлам. Это определяет и ключевой момент в поведении антивируса и пользователя в отношении троянца. В то время как от вируса зараженный файл можно избавить, получив «чистую» версию оригинала, троянца вылечить невозможно, ибо он сам по себе является вредоносным файлом. Даже если это легитимное приложение с «теневым» функционалом, оно все равно цельное, устранить его негативный эффект можно только полным удалением.

Троянец-шифровальщик не имеет механизмов распространения. Более того, даже попав на компьютер, он не в состоянии активизироваться самостоятельно. По сути, энкодер представляет собой обычную программу, которая начинает работать, только когда пользователь сам запустил ее на выполнение или запустил скрипт-загрузчик, который и установит троянца.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Dr.Web. Троянцы-шифровальщики. Эпидемия с 2006 года
  2. Arctic Wolf Threat Report Highlights Sharp Rise in Ransom Demands and BEC Incidents
  3. Ransomware Payments Exceed $1 Billion in 2023, Hitting Record High After 2022 Decline
  4. Alliance of 40 countries to vow not to pay ransom to cybercriminals, US says
  5. Italy targeted by wide-ranging cyberattack
  6. IBM Report: Ransomware Persisted Despite Improved Detection in 2022
  7. Ransomware Attacks, Payments Declined In 2022: Report
  8. [https://therecord.media/dragos-ransomware-report-2022-ics-ot-lockbit/ Ransomware attacks on industrial infrastructure doubled in 2022: Dragos
  9. Ransomware Revenue Down As More Victims Refuse to Pay
  10. [1]
  11. More than 200 U.S. institutions hit with ransomware in 2022: report
  12. Шифровальщикам сбили цену
  13. Хакеры Ransom Cartel используют инструменты и исходный код шифровальщика REvil
  14. Центр анализа угроз Microsoft заявил о кибератаке на транспортные фирмы Украины и Польши
  15. Повреждение данных может заменить традиционные атаки программ-вымогателей
  16. [https://www.securitylab.ru/news/532758.php Новое вымогательское ПО маскируется под обновление Google Подробнее: https://www.securitylab.ru/news/532758.php]
  17. </ Шифровальщик Hive окончательно перешел на Rust и стал опаснее
  18. Новые вымогатели Goodwill требуют от жертв совершить три добрых поступка
  19. Эксперты вычислили скорость шифрования файлов десяти нашумевших вымогательских семейств
  20. Новое вымогательское ПО LokiLocker оснащено функциями вайпера
  21. Ransomware Attacks Surged to New Highs in 2021
  22. [2]
  23. Ransomware attacks surged 2X in 2021, SonicWall reports
  24. От вирусов-вымогателей в 2021 году пострадали 16 тыс. российских компаний
  25. Ransomware 2021 Year End Report Reveals Hackers are Increasingly Targeting Zero-Day Vulnerabilities and Supply Chain Networks for Maximum Impact
  26. Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес
  27. IDC Survey Finds More Than One Third of Organizations Worldwide Have Experienced a Ransomware Attack or Breach
  28. [ https://www.securitylab.ru/news/525326.php Новый законопроект США обяжет жертв вымогателей уведомлять о выплатах]
  29. FBI warns of ransomware attacks targeting food and agriculture sector as White House pushes for proactive measures
  30. Justice Department elevates ransomware attacks to the same priority as terrorism
  31. Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows
  32. FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware
  33. Nearly half of retailers hit by ransomware in 2020
  34. Ransomware gangs made at least $350 million in 2020
  35. Group-IB опубликовала прогнозы по киберугрозам, с которыми мир столкнется в новом году
  36. Feds Threaten Civil Penalties For Those Paying Ransomware Demands
  37. DHS says ransomware hit US gas pipeline
  38. Написанный на необычном языке шифровальщик нападает на Linux-серверы
  39. Second Florida city pays giant ransom to ransomware gang in a week
  40. Florida city pays $600,000 to ransomware gang to have its data back
  41. Police Held to Ransom: Federation Defends 11 Day Delay in Notifying Members
  42. Georgia county pays a whopping $400,000 to get rid of a ransomware infection
  43. Ransomware attack blacks out screens at Bristol Airport
  44. Chaos and missed flights at Gatwick as IT error forces staff to write flight details on whiteboards
  45. Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года
  46. Россия больше не входит в десятку основных объектов атак вымогателей
  47. Ransomware Attacks Continue in Ukraine with Mysterious WannaCry Clone
  48. [3]
  49. Ransomware negotiation stirs controversy in Korea
  50. Sophos CEO sounds the alarm on enterprise ransomware attacks
  51. Исследователи создали программу-вымогателя для промышленных систем
  52. Petya: disk-encrypting ransomware
  53. Ransomware Will Spike As More Cybercrime Groups Move In
  54. Here Comes Locky, A Brand New Ransomware Threat
  55. Alert (TA16-091A) Ransomware and Recent Variants