Названы самые опасные для российского бизнеса программы-вымогатели

Самыми агрессивными программами-вымогателями являются операторы шифровальщиков Dharma, Crylock, Thanos - каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB "Как операторы программ-вымогателей атаковали российский бизнес в 2021-м".

  Ранее, в марте этого года, в отчете "Программы-вымогатели 2020-2021" эксперты Group-IB прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%.
  Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service ("Вымогательство как услуга") - именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег развернуть шифровальщик на всю скомпрометированную сеть.
  Отмечается, что суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная - 40 млн рублей. Рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin - они рассчитывали получить от жертвы 250 млн рублей. При этом в мире "ставки" значительно выше - вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в 240 млн долларов.
  Отсутствие информации об успешных кибератаках шифровальщиков и их жертвах в России объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах.
  Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В текущем году на них пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock. На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов - этот тренд в 2021 году добрался и до России. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.
  "Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей "не работают по РУ", русскоговорящие группы и их партнеры в 2020-2021 годах активно атаковали российский бизнес, - отмечает Олег Скулкин, руководитель лаборатории компьютерной криминалистики Group-IB. - "К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким - его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию", - отметил руководитель лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

Источник: Banki.ru https://www.banki.ru/news/lenta/?id=10956995

26.11.2021