Шифровальщики ушли на перезагрузку

По данным Positive Technologies, число атак в III квартале текущего года уменьшилось на 4,8% по сравнению с предыдущим. Отрицательную динамику специалисты компании отметили впервые с конца 2018 года. По их мнению, это главным образом связано с сокращением количества атак шифровальщиков и уходом некоторых крупных игроков со сцены. По этой же причине снизилась (с 87% до 75%) и доля атак, направленных на компрометацию корпоративных компьютеров, серверов и сетевого оборудования. По словам аналитика Positive Technologies Федора Чунижекова, шифровальщики используются в значительной части атак, и изменения активности вымогателей напрямую влияют на общее количество атак. "Пик атак шифровальщиков в этом году пришелся на апрель, в котором мы зафиксировали 120 атак. В сентябре было зарегистрировано 45 атак, что на 63% меньше апрельского пика. Это обусловлено прекращением деятельности некоторых крупных групп вымогателей и повышенным вниманием к проблеме атак шифровальщиков (из-за прошедших громких атак) со стороны правоохранительных органов", - отмечает руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева В Positive Technologies также отметили тенденцию к так называемому ребрендингу действующих групп вымогателей, который заключается в пересмотре некоторыми операторами шифровальщиков своего отношения к схеме ransomware as a service (RaaS, "вымогатель как услуга"), несущей определенные риски со стороны недобросовестных партнеров. "Во II квартале мы отмечали, что одним из возможных сценариев дальнейшей трансформации шифровальщиков будет отказ от концепции RaaS в текущем виде", - говорит Екатерина Килюшева из Positive Technologies. Она объясняет, что операторам шифровальщиков гораздо безопаснее брать людей, которые будут заниматься доставкой вредоносов и поиском уязвимостей, в „штат", ведь так будет безопаснее обеим сторонам, то есть возможен вариант формирования более организованных и эффективных форм, которые будут придерживаться концепции all-in-one. Также, по ее словам, в III квартале в компании наблюдали первые шаги в этом направлении; дополнительным драйвером к такому подходу является развитие рынка сбыта различных эксплойтов и доступов к компаниям. Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев поясняет, что снижение количества атак вымогателей можно связать с тем, что наиболее продвинутые операторы вымогателей сейчас попадают в сферу внимания не правоохранительных органов, а спецслужб и военных. Он обращает внимание, что с ними начинают бороться как со средствами кибернападения, и добавил, что проблему в числе прочих обсудили на недавней встрече Владимир Путин и Джо Байден. "Думаю, что снижение активности связано с вниманием со стороны людей, которые серьезны в намерениях и готовы жестко отвечать всеми возможными средствами. Операторы платформ вирусов-вымогателей, как и организаторы таких платформ, из-за внимания со стороны спецслужб чуть-чуть притихли. Когда все уляжется и немного забудется, они возможно вернутся к каким-то громким атакам", - отмечает Павел Коростелев. "По сведениям, которые поступают в IV (текущем) квартале, мы уже можем предположить то, что количество атак вымогателей будет на уровне, либо выше уровня III квартала. Это связано с тем, что злоумышленники достаточно оперативно приспосабливаются к изменениям и давлению - свидетельством этого является перестройка бизнеса вымогателей, с учетом недостатков нынешних открытых партнерских программ, в закрытые партнерские программы с постоянным составом и тщательным отбором кандидатов или собственные команды распространителей шифровальщиков", - дополняет Федор Чунижеков из Positive Technologies. По данным исследования Positive Technologies, при общем снижении доли атак на организации с использованием ВПО (на 22 п. п.) стремление злоумышленников к получению данных привело к росту использования ВПО для удаленного управления — с 17% до 36% в атаках на организации, а при атаках на частных лиц эти вредоносы составили уже более половины от всего использованного ВПО. По сравнению с I кварталом, в III квартале текущего года доля использования ВПО для удаленного управления в атаках на пользователей выросла в 2,5 раза. "В связи с направленностью злоумышленников на кражу конфиденциальных данных можно предположить что тенденция использования ВПО для удаленного управления сохранится и в следующем году, ведь данный тип вредоносов является серьезным подспорьем злоумышленников для компрометации устройств и сетей, а также кражи информации", - отмечает Федор Чунижеков из Positive Technologies. Анализ Positive Technologies показал, что в III квартале доля атак APT-группировок выросла до 5% от общего числа атак на пользователей. По мнению экспертов, это обусловлено запуском многочисленных фишинговых и разведывательных кампаний в отношении сотрудников различных государственных учреждений, промышленных предприятий, представителей прессы. По сравнению с аналогичным периодом прошлого года доля атак на частных лиц с использованием методов социальной инженерии выросла с 67% до 83%. При этом злоумышленники не стоят на месте и постоянно совершенствуют методы обмана, например вынуждая жертву саму звонить в поддельный кол-центр, как в случае с кампанией по распространению вредоносного ПО и шифровальщиков BazaCall. Чтобы не попасться на уловки мошенников, специалисты советуют прежде всего придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности. Руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин отмечает, что несмотря на распространенное заблуждение, по которому операторы программ-вымогателей "не работают по .РУ", русскоговорящие группы и их партнеры в 2020-2021 гг. активно атаковали российский бизнес. "К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким - его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию", - высказывает мнение Олег Скулкин. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации в границах нашей страны увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак. Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service ("Вымогательство как услуга") - именно так и работают три вышеназванных вымогателя. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть. В лаборатории компьютерной криминалистики Group-IB обозначают, что суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная - 40 млн рублей, рекорд суммы запрашиваемого выкупа - 250 млн руб., (группировка OldGremlin). Исследователи Group-IB обозначают, что в России есть своя специфика: отсутствие информации об успешных кибератаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах, кроме того сами пострадавшие тоже стараются избежать огласки. Ссылка на источник