Самыми агрессивными программами-вымогателями являются операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021-м».
Ранее, в марте этого года, в отчете «Программы-вымогатели 2020—2021» эксперты Group-IB прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%.
Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег развернуть шифровальщик на всю скомпрометированную сеть.
Отмечается, что суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей. Рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. При этом в мире «ставки» значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в 240 млн долларов.
Отсутствие информации об успешных кибератаках шифровальщиков и их жертвах в России объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах.
Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В текущем году на них пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock. На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов — этот тренд в 2021 году добрался и до России. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.
«Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей «не работают по РУ», русскоговорящие группы и их партнеры в 2020—2021 годах активно атаковали российский бизнес, — отмечает Олег Скулкин, руководитель лаборатории компьютерной криминалистики Group-IB. — «К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким — его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию», — отметил руководитель лаборатории компьютерной криминалистики Group-IB Олег Скулкин.
Новость
