Новости / декабрь 2021
Шифровальщики ушли на перезагрузку

Количество кибератак в III квартале текущего года уменьшилось на 4,8% по сравнению с предыдущим, отрицательная динамика наблюдается впервые с конца 2018 г., отметили в Positive Technologies, где проанализировали актуальные киберугрозы III квартала 2021 г. По их мнению, это главным образом связано с сокращением количества атак шифровальщиков и уходом некоторых крупных игроков со сцены. Аналитики также зафиксировали снижение числа уникальных кибератак, рост доли атак на частных лиц, а также увеличение количества атак на организации с использованием ВПО для удаленного управления.
Константин
Скурат
© ComNews
09.12.2021

По данным Positive Technologies, число атак в III квартале текущего года уменьшилось на 4,8% по сравнению с предыдущим. Отрицательную динамику специалисты компании отметили впервые с конца 2018 г. По их мнению, это главным образом связано с сокращением количества атак шифровальщиков и уходом некоторых крупных игроков со сцены. По этой же причине снизилась (с 87% до 75%) и доля атак, направленных на компрометацию корпоративных компьютеров, серверов и сетевого оборудования. По словам аналитика Positive Technologies Федора Чунижекова, шифровальщики используются в значительной части атак, и изменения активности вымогателей напрямую влияют на общее количество атак.

"Пик атак шифровальщиков в этом году пришелся на апрель, в котором мы зафиксировали 120 атак. В сентябре зарегистрировано 45 атак, что на 63% меньше апрельского пика. Это обусловлено прекращением деятельности некоторых крупных групп вымогателей и повышенным вниманием к проблеме атак шифровальщиков - из-за прошедших громких атак - со стороны правоохранительных органов", - отмечает руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева.

В Positive Technologies также отметили тенденцию к так называемому ребрендингу действующих групп вымогателей, который заключается в пересмотре некоторыми операторами шифровальщиков своего отношения к схеме Ransomware-as-a-Service (RaaS, "вымогатель как услуга"), несущей определенные риски со стороны недобросовестных партнеров.

"Во II квартале мы отмечали, что одним из возможных сценариев дальнейшей трансформации шифровальщиков будет отказ от концепции RaaS в текущем виде", - говорит Екатерина Килюшева из Positive Technologies.

Она объясняет, что операторам шифровальщиков гораздо безопаснее брать людей, которые будут заниматься доставкой вредоносов и поиском уязвимостей, в "штат", ведь так будет безопаснее обеим сторонам, то есть возможен вариант формирования более организованных и эффективных форм, которые будут придерживаться концепции all-in-one. Также, по ее словам, в III квартале в компании наблюдали первые шаги в этом направлении; дополнительным драйвером к такому подходу является развитие рынка сбыта различных эксплойтов и доступов к компаниям.

Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев поясняет, что снижение количества атак вымогателей можно связать с тем, что наиболее продвинутые операторы вымогателей сейчас попадают в сферу внимания не правоохранительных органов, а спецслужб и военных. Он обращает внимание, что с ними начинают бороться как со средствами кибернападения, и добавил, что проблему в числе прочих обсудили на недавней встрече Владимир Путин и Джо Байден.

"Думаю, что снижение активности связано с вниманием со стороны людей, которые серьезны в намерениях и готовы жестко отвечать всеми возможными средствами. Операторы платформ вирусов-вымогателей, как и организаторы таких платформ, из-за внимания со стороны спецслужб чуть-чуть притихли. Когда все уляжется и немного забудется, они, возможно, вернутся к каким-то громким атакам", - отмечает Павел Коростелев.

"По сведениям, которые поступают в IV, текущем, квартале, мы уже можем предположить, что количество атак вымогателей будет на уровне либо выше уровня III квартала. Это связано с тем, что злоумышленники достаточно оперативно приспосабливаются к изменениям и давлению - свидетельством этого является перестройка бизнеса вымогателей, с учетом недостатков нынешних открытых партнерских программ, в закрытые партнерские программы с постоянным составом и тщательным отбором кандидатов или собственные команды распространителей шифровальщиков", - дополняет Федор Чунижеков из Positive Technologies.

По данным исследования Positive Technologies, при общем снижении доли атак на организации с использованием ВПО (на 22 п.п.) стремление злоумышленников к получению данных привело к росту использования ВПО для удаленного управления - с 17% до 36% в атаках на организации, а при атаках на частных лиц эти вредоносы составили уже более половины от всего использованного ВПО. По сравнению с I кварталом, в III квартале текущего года доля применения ВПО для удаленного управления в атаках на пользователей выросла в 2,5 раза.

связи с направленностью злоумышленников на кражу конфиденциальных данных можно предположить, что тенденция использования ВПО для удаленного управления сохранится и в следующем году, ведь данный тип вредоносов является серьезным подспорьем злоумышленников для компрометации устройств и сетей, а также кражи информации", - отмечает Федор Чунижеков из Positive Technologies.

Анализ Positive Technologies показал, что в III квартале доля атак APT-группировок выросла до 5% от общего числа атак на пользователей. По мнению экспертов, это обусловлено запуском многочисленных фишинговых и разведывательных кампаний в отношении сотрудников различных государственных учреждений, промышленных предприятий, представителей прессы. По сравнению с аналогичным периодом прошлого года доля атак на частных лиц с использованием методов социальной инженерии выросла с 67% до 83%. При этом злоумышленники не стоят на месте и постоянно совершенствуют методы обмана, например, вынуждая жертву саму звонить в поддельный кол-центр, как в случае с кампанией по распространению вредоносного ПО и шифровальщиков BazaCall. Чтобы не попасться на уловки мошенников, специалисты советуют прежде всего придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности.

Руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин отмечает, что, несмотря на распространенное заблуждение, по которому операторы программ-вымогателей "не работают по .РУ", русскоговорящие группы и их партнеры в 2020-2021 гг. активно атаковали российский бизнес.

"К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким - его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию", - высказывает мнение Олег Скулкин.

По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации в границах нашей страны увеличилось в 2021 г. более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos - в общей сложности на них приходится более 300 атак. Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service - именно так и работают три вышеназванных вымогателя. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег развернуть шифровальщик на всю скомпрометированную сеть.

В лаборатории компьютерной криминалистики Group-IB обозначают, что суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн руб., максимальная - 40 млн руб., рекорд суммы запрашиваемого выкупа - 250 млн руб. (группировка OldGremlin). Исследователи Group-IB обозначают, что в России есть своя специфика: отсутствие информации об успешных кибератаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site - DLS) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах, кроме того, сами пострадавшие тоже стараются избежать огласки.

Новости из связанных рубрик