Ущерб от вирусов-вымогателей

Вирусы-вымогатели (шифровальщики) Ransomware

Основная статья:Вирусы-вымогатели (шифровальщики) Ransomware

2024

Оплата выкупа хакерам-вымогателям в мире за год сократилась на 35% до $813,55 млн

В 2024 году общая сумма выкупов, выплаченных кибергруппировкам вымогателей в мировом масштабе, составила $813,55 млн. Это на 35% меньше по сравнению с 2023-м, когда был зафиксирован рекордный показатель в размере $1,25 млрд. Такие данные приводятся в обзоре Chainalysis, опубликованном 5 февраля 2025 года.

Говорится, что ландшафт программ-вымогателей претерпел существенные изменения в 2024-м. Первая половина года ознаменовалась высокой активностью злоумышленников, в результате чего жертвы вымогателей выплатили суммарно $459,8 млн в качестве выкупов за получение ключа для дешифрования данных и предотвращение публикации похищенной информации в интернете. Результат на 2,38% превысил сумму, зафиксированную в первом полугодии 2023-го. Кроме того, в течение января–июня 2024 года жертвы вымогателей совершили ряд очень крупных единовременных платежей: так, киберпреступникам из группировки Dark Angels удалось получить выкуп в размере $75 млн. Но во второй половине 2024-го интенсивность выплат пошла на спад, в результате чего по итогам года в целом сумма выкупов уменьшилась более чем на треть.

Авторы исследования называют несколько основных факторов, способствовавших значительному падению выплат. Это усилия правоохранительных органов по борьбе с киберпреступностью, укрепление международного сотрудничества и отказ жертв платить выкуп. В ответ на это злоумышленники меняют тактики. Они зачастую начинают требовать выкуп практически сразу после кражи данных, угрожая в случае отказа опубликовать сведения в даркнете.

Сформировавшаяся экосистема вымогателей представлена множеством новичков, которые, как правило, сосредотачивают усилия на предприятиях малого и среднего бизнеса. Атаки на такие организации сопровождаются более скромными требованиями выкупа, — говорит Лиззи Куксон (Lizzie Cookson), старший директор по реагированию на инциденты компании Coveware, которая специализируется на информационной безопасности.[1]

Хакерам-вымогателям заплатили рекордный выкуп в $75 млн

В конце июля 2024 года исследователи компании по кибербезопасности Zscaler ThreatLabz отследили рост атак с использованием программ-вымогателей на 18 % в годовом исчислении. Среди прочего они обнаружили доказательства рекордного выкупа в размере 75 млн долларов, выплаченного хакерам неизвестной жертвой в начале 2024 года.

Ранее компания Varonis также собирала статистику по программам-вымогателям и сообщала, что самая крупная сумма выкупа была зафиксирована в 2021 году, когда страховой гигант CNA Financial заплатил ошеломляющие 40 млн долларов. Однако последний отчет Zscaler ThreatLabz показывает, что аппетиты хакеров только растут, как и число атак.

𝓲

Фото: Unsplash

По словам исследователей, в январе-июне 2024 года США был зарегистрирован поразительный рост числа атак программ-вымогателей - на 93%. Больше всего от киберпреступных банд пострадали здравоохранение, производственная и технологическая отрасли, причем количество атак на производственную отрасль оказалось более чем вдвое выше, чем в двух других отраслевых группах вместе взятых. Что касается географического направления, то на США приходится почти половина всех атак программ-вымогателей, следующей идет Великобритания.ИИ в госсекторе: Перспективные сценарии и план для начала использования 6.6 т

В целом исследователи Zscaler смогли отследить в общей сложности 391 банду хакеров, рассылающих программы-вымогатели, причем в период с апреля 2023 года по апрель 2024 года было выявлено 19 новых банд. Рекордный платеж в 75 млн долларов получила банда Dark Angels, которая ранее не попадала в поле зрения СМИ. Фактически, эта группа программ-вымогателей даже не входит в десятку самых активных групп в отчете, а лидирующее положение прочно занимает группа хакеров LockBit, которая обеспечила более чем в два раза больше атак, чем группа BlackCat (ALPHV), занимающая второе место, следом за которой идут банды 8Base, Play и Clop.^[2]

2023

Выкупы хакерам-вымогателям в мире за год достигли рекордных $1 млрд

Выкупы хакерам-вымогателям в мире за 2023 год достигли рекордных $1 млрд. Об этом свидетельствуют данные ИБ-компании Positive Technologies, опубликованные в конце апреля 2024 года.

Эксперты привели пример с компанией Caesars Entertainment (один из крупнейших в мире представителей гостиничного и развлекательного бизнеса): она заплатила выкуп в $15 млн вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

𝓲

Фото: Positive Technologies

По словам аналитиков Positive Technologies, в 2023 году хакеры переключились с простого шифрования на угрозу публикации украденных данных. Тенденция появилась на фоне того, как компании начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов, считает руководитель исследовательской группы Positive Technologies Ирина Зиновкина.

Согласно исследованию, больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг. Кроме того, в 2023 году вирусы-вымогатели часто атаковали организации из сферы науки и образования (14% от общего количества нападений шифровальщиков), государственные учреждения (12%) и промышленные организации (12%). Почти все шифровальщики в 2023 году распространялось с помощью электронной почты и путем компрометации компьютеров и серверов.

Хакеры увеличили на 20% требования к выкупу при атаках вирусов-вымогателей до $600 тыс.

В 2023 году средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс. Это на 20% больше по сравнению с предыдущим годом, когда данный показатель находился на отметке $500 тыс. Такие данные приводятся в отчете компании Arctic Wolf Networks, опубликованном 20 февраля 2024 года.

Отмечается, что размер выкупа варьируется в зависимости от сферы деятельности атакуемой организации. Так, в юридической, государственной, розничной и энергетической отраслях киберпреступники в 2023-м требовали в среднем $1 млн или больше. Специалисты Arctic Wolf Networks говорят о том, что тенденция роста суммы выкупа среди группировок-вымогателей сохраняется. Связано это с новыми инициативами по борьбе с киберпреступностью и с растущим количеством отказов жертв от перечисления запрашиваемых денег.

𝓲

Фото: Unsplash

Атак программ-вымогателей остерегаются организации и большого, и маленького размера, и на это есть веские причины: нанесенный такими вирусами урон приводит к огромным потерям, не считая собственно выкупа, — говорят специалисты Arctic Wolf Networks.

В исследовании также отмечается, что в 2023 году киберпреступники активно эксплуатировали уязвимости, выявленные в 2022-м и раньше. Такие дыры были задействованы почти в 60% инцидентов. При этом только 12% кибератак были связаны с уязвимостями нулевого дня. В 2023 году хакеры часто проводили нападения, связанные с компрометацией деловой электронной почты: количество таких инцидентов оказалось приблизительно в 10 раз больше по сравнению с числом атак программ-вымогателей. В целом, объем киберинцидентов продолжает расти с каждым годом. Злоумышленники берут на вооружение новые тактики, основанные на применении генеративного искусственного интеллекта.^[3]

Платежи жертв вирусов-вымогателей в мире достигли рекордных $1,1 млрд

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд, что является новым рекордом. Для сравнения, в 2022-м эта цифра оценивалась в $567 млн. Таким образом, зафиксирован двукратный рост в годовом исчислении, о чем говорится в исследовании аналитической компании Chainalysis, результаты которого опубликованы 7 февраля 2024 года.

В отчете отмечается, что доход операторов программ-шифровальщиков в виде выкупов устойчиво рос в разгар пандемии COVID-19. В частности, в 2019 году он составлял около $220 млн, а в 2020-м достиг $905 млн. В 2021 году злоумышленники получили от своих жертв $983 млн. Но в 2022-м произошел резкий спад. Эксперты связывают это со сложившейся геополитической обстановкой: конфликт не только нарушил деятельность некоторых киберпреступных группировок, но и сместил их акцент с финансовой выгоды на политически мотивированные кибератаки, направленные на шпионаж и разрушение ИТ-инфраструктуры. Но уже в 2023 году операторы вирусов-вымогателей вернулись к привычной деятельности, и объем платежей жертв снова начал расти.

𝓲

Фото: Chainalysis

В исследовании говорится, что в 2023 году в сегменте программ-шифровальщиков произошел значительный рост частоты, масштабов и объемов атак. Такие киберкампании осуществлялись самыми разными хакерскими сообществами — от крупных синдикатов до небольших групп и отдельных лиц. Кроме того, злоумышленники внедряют новые тактики, в частности, схему охоты на так называемую «крупную дичь». Она позволяет совершать меньше атак, получая при этом более крупные выкупы от больших корпораций и организаций.

В 2023 году среди крупнейших жертв вирусов-вымогателей оказались нефтегазовая компания Shell, правительственное организации США, авиакомпания British Airways и др. Все большую долю в общем объеме платежей составляют выкупы на сумму $1 млн и выше.^[4]

2022

Почему хакеры-вымогатели начали просить на 28% меньше выкупа

21 февраля 2023 года обнародованы результаты исследования компании CrowdStrike, посвящённого изучению тенденций распространения программ-вымогателей. Сообщается, что в 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом.

Как сообщает газета The Wall Street Journal, ссылаясь на данные CrowdStrike, в 2022 году киберпреступники, занимающиеся распространением шифровальщиков, хотели получить от своих жертв в среднем $4,1 млн. Для сравнения: годом ранее размер выкупа составлял в среднем $5,7 млн. Такая ситуация объясняется несколькими причинами. Это, в частности, аресты членов хакерских группировок, падение стоимости криптовалют и усиление мер по борьбе с киберпреступностью в целом. Отмечается, что некоторые группы сетевых злоумышленников даже вынуждены сокращать штат из-за падения прибыли. В частности, киберпреступная команда Conti в 2022-м уволила 45 сотрудников из-за ухудшения своего финансового положения.

В 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом

В то же время американская компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила о том, что в 2022-м число киберинцидентов, связанных с программами-вымогателями сократилось в годовом исчислении приблизительно на 15%.

При этом количество атак программ-вымогателей на промышленные организации в 2022 году увеличились на 87% по сравнению с предыдущим годом, причём такие зловреды нацелены прежде всего на производственный сектор. Так, хакеры атаковали горнодобывающие компании в Австралии и Новой Зеландии, а также компании, работающие с возобновляемыми источниками энергии, в США и Европейском союзе. Злоумышленники всё чаще фокусируют внимание на секторах энергетики, продовольствия, водоснабжения и добычи природного газа.^[5]

Объем выкупа после атак вирусов-вымогателей в мире сократился на $300 млн

19 января 2023 года компания Chainalysis обнародовала данные исследования, согласно которым доход злоумышленников, распространяющих программы-вымогатели, в мировом масштабе в 2022-м сократился приблизительно на $300 млн.

В 2019 году операторы шифровальщиков получили от своих жертв примерно $174 млн в качестве выкупа. В 2020-м эта сумма резко выросла, достигнув $765 млн. В 2021 году, по оценкам, внедрение зловредов-вымогателей принесло киберпреступникам $765,6 млн, а в 2022-м — примерно $456,8 млн. Таким образом, падение за год составило 40,3%. Такая ситуация, по мнению экспертов, связана прежде всего с растущим нежеланием жертв платить злоумышленникам, а не с уменьшением фактического количества атак.

Данные по претензиям в индустрии киберстрахования показывают, что программы-вымогатели остаются растущей киберугрозой для бизнеса и предприятий. Однако есть признаки того, что сбои в деятельности групп лиц, занимающихся такими зловредами, приводят к меньшему, чем ожидалось, количеству успешных попыток вымогательства, — говорит директор компании Resilience Майкл Филлипс (Michael Phillips).

На снижение интенсивности выплат указывают и другие специалисты. Так, Билл Сигел (Bill Siegel) из Coveware сообщил, что в 2019 году вероятность выплаты выкупа жертвой программы-вымогателя находилась на отметке 76%. В 2020-м это значение снизилось до 70%, а в 2021-м — до 50%. В 2022 году зафиксировано дальнейшее сокращение — до 41%. Одной из причин столь значительного падения является то, что выплата выкупа стала более рискованной с юридической точки зрения, особенно после того, как в сентябре 2021 года Управление по контролю над иностранными активами (OFAC), входящее в состав Министерства финансов США, опубликовало документ о возможном наложении гражданско-правовых санкций на компании и организации в связи с выполнением требований вымогателей.^[6]

2021

Число компаний, заплативших более $1 млн хакерам-вымогателям увеличилось в 3 раза

Согласно исследованию разработчика ИБ-решений Sophos, в 2021 году около 66% организаций подверглись атаке вымогательского ПО по сравнению с 37% в 2020 году. И 65% этих атак были успешными в плане шифрования данных своих жертв, по сравнению с 54% в 2020-м, говорится в отчете.

По данным британской компании по кибербезопасности, средний размер выкупа, выплачиваемого организациями за наиболее значительные атаки с использованием выкупного ПО, вырос почти в пять раз и составил чуть более $800 тыс., а число организаций, выплативших выкуп в размере $1 млн и более, по итогам 2021 года утроилось и достигло 11%.

Число компаний, заплативших более $1 млн хакерам-вымогателям, за год утроилось

Честер Вишневски, главный научный сотрудник Sophos, говорит, что стоимость вымогательских программ не только продолжает расти, но все большее число жертв решают заплатить, даже когда у них есть другие варианты.

46% опрошенных, которые сообщили, что их данные были заблокированы в результате атаки, заявили, что заплатили выкуп, чтобы получить свои данные обратно, а 26% заявили, что заплатили выкуп, хотя могли бы восстановить их самостоятельно с помощью резервных копий.

По словам Висневски, причин этому может быть несколько, включая неполное резервное копирование или желание уберечь данные компании от публикации в Интернете.

Организации не знают, что могли сделать злоумышленники, например, добавить бэкдоры, скопировать пароли и многое другое, - говорится в заявлении Висневски. Если организации не проведут тщательную очистку восстановленных данных, они окажутся со всем этим потенциально токсичным материалом в своей сети и могут подвергнуться повторной атаке.

Кроме того, после атаки вируса-вымогателя часто возникает острая необходимость как можно быстрее восстановить работоспособность, а восстановление из резервных копий часто может быть сложным и отнимать много времени, сказал Висневски. Но хотя платить киберпреступникам за ключ дешифровки может быть заманчивой идеей, это также рискованно.^[7]

Средняя выплата выкупа при атаках вирусов-вымогателей достигла нового рекорда - $541 тыс

30 марта 2022 года ИБ-компанией Palo Alto Networks было опубликовано исследование, согласно которому в 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, поскольку киберпреступники все чаще обращались к «сайтам утечек» в даркнете, где они вынуждали жертв платить деньги, угрожая обнародовать конфиденциальные данные.

Согласно отчету, средняя сумма выкупа, требуемого вымогателями, выросла на 144% в 2021 году до $2,2 млн, а средняя сумма выплаты увеличилась на 78% до $541 010. Наиболее пострадавшими отраслями являются профессиональные и юридические услуги, строительство, оптовая и розничная торговля, здравоохранение и производство.

В 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, киберпреступники все чаще обращались к «сайтам утечек» в даркнете.

«В 2021 году атаки программ-вымогателей мешали повседневной деятельности, которую люди во всем мире считают само собой разумеющейся — от покупки продуктов и бензина для наших автомобилей до вызова службы экстренной помощи в случае чрезвычайной ситуации и получения медицинской помощи» — говорится в сообщении.

Наибольшую активность проявляла группа вымогателей Conti, на которую приходится более 1 из 5 случаев, рассмотренных консультантами Unit 42 в 2021 году. REvil, также известный как Sodinokibi, занял второе место с 7,1%, за ним следуют Hello Kitty и Phobos (по 4,8%). Conti также разместила названия 511 организаций на своем сайте утечек в Dark Web, что является самым большим показателем среди всех групп.

В отчете описывается рост экосистемы кибервымогательства в 2021 году с появлением 35 новых банд вымогателей. Преступные группировки инвестируют полученную прибыль в создание простых в использовании инструментов для атак, которые все чаще используют уязвимости нулевого дня.

Согласно исследованию Palo Alto Networks, число жертв, чьи данные были размещены на сайтах утечки, в 2021 году выросло на 85%, до 2566 организаций. 60% жертв сайтов утечки данных находились в Северной и Южной Америке, за ними следует 31% в Европе, на Ближнем Востоке и в Африке, а также 9% в Азиатско-Тихоокеанском регионе.^[8]

Check Point Software: $40 млн - это рекордный выкуп хакерам

По данным компании Check Point Software, специализирующейся на технологиях информационной безопасности, выкуп в $40 млн, который страховая компания CNA Financial заплатила в 2021 году хакерам, стал крупнейшим в истории атак вирусов-вымогателей. Об этом эксперты сообщили в начале ноября 2021 года.

По сведениям Bloomberg, злоумышленники изначально требовали $60 млн, а после длительных переговоров они согласились на уменьшенную на $20 млн. По данным ИБ-специалистов, использованный для атаки на CNA Financial вирус Phoenix был создан на базе зловреда Hades. Этот вирус разработала хакерская группировка Evil Corp. Подробнее здесь.

2020

Доходы распространителей вирусов-вымогателей оценены в $400 млн

Совет национальной безопасности США подсчитал, что доходы хакеров по всему миру, которые использовали вирусы-вымогатели, в 2020 году составил $400 млн. Данные опубликованы на сайте Белого дома в октябре 2021 года.

Инциденты с вирусами-вымогателями нарушили работу важнейших служб и предприятий по всему миру, пострадали: школы, банки, государственные учреждения, службы спасения, больницы, энергетические компании, транспорт и предприятия пищевой промышленности. Вирусы атаковали организации любого размера, независимо от их местонахождения. Глобальные экономические потери от вредоносных программ значительны, отмечают эксперты.

Доходы распространителей вирусов-вымогателей оценен по итогам 202о года в $400 млн

Администрация президента США Джо Байдена прилагает целенаправленные комплексные усилия для борьбы с этой угрозой. Работа организована по следующим направлениям:

• Уничтожение инфраструктуры и действующих лиц, распространяющих вымогательское ПО: Администрация задействует все возможности правительства США, чтобы уничтожить участников, организаторов, сети и финансовую инфраструктуру вирусов-вымогателей;

• Повышение устойчивости для противостояния атакам вирусов-вымогателей: администрация призвала частный сектор увеличить инвестиции и сосредоточиться на киберзащите, чтобы противостоять этой угрозе. Администрация также определила ожидаемые пороговые уровни кибербезопасности для критической инфраструктуры и ввела требования кибербезопасности для критической инфраструктуры транспорта;

• Борьба со злоупотреблением виртуальной валютой для отмывания выкупных платежей: На виртуальную валюту распространяются те же меры контроля по борьбе с отмыванием денег и финансированием терроризма (AML/CFT), которые применяются к фиатной валюте и эти меры контроля, эти законы должны соблюдаться.

• Использовать международное сотрудничество для разрушения экосистемы вирусов-вымогателей и устранения безопасных гаваней для преступников, использующих компьютерный вирус:

По данным Check Point Research, за 12-месячный период, начавшийся в октябре 2020 года, во всем мире число компаний, столкнувшихся с атаками программ-вымогателей, увеличилось на 57%, а с начала 2021 года число таких атак растет на 9% ежемесячно. Согласно статистике ИИ-стартапа Deep Instinct, общее количество атак с применением вымогателей выросло на 435% в 2020 году. При помощи этого типа вирусов хакерам удалось остановить работу 560 медицинских центров, 1,6 тыс. школ и колледжей, а также более, чем 1,3 тыс. иных организаций, заявляет ИБ-компания Emsisoft.^[9]

Вирусы-вымогатели выманили $350 млн - Chainalysis

В начале февраля 2021 года аналитическая компания Chainalysis выпустила отчет, согласно которому в 2020 году хакеры получили не менее $350 млн при использовании вирусов-вымогателей. Эти данные компания получила путем отслеживания транзакций по адресам блокчейнов, связанных с атаками программ-вымогателей.

Однако Chainalysis уточнила, что ее оценка указывает лишь на минимальную сумму, истинные цифры до сих пор неизвестны, поскольку жертвы не всегда предпочитают открыто говорить о перенесенных атаках вирусов-вымогателей и последующих платежах.

Вирусы-вымогатели в 2020 году выманили $350 млн

Согласно данным Chainalysis, в 2020 году на платежи вследствие атак вымогателей пришлось 7% всех средств, полученных «преступными» криптовалютными адресами. Эти цифры выросли на 311% по сравнению с 2019 годом, и аналитики Chainalysis считают, что резкий рост связан с появлением новых вирусов, «резко увеличивающих прибыль». По данным компании, самые крупные выкупы получали такие группы вирусов-вымогателей, как Ryuk, Maze, Doppelpaymer, Netwalker, Conti и REvil (также известный как Sodinokibi). Тем не менее, другие вирусы, такие как Snatch, Defray777 (RansomExx) и Dharma, также принесли хакерам прибыль, оцениваемую в миллионы долларов.

Chainalysis предполагает, что вирусы-вымогатели используются меньшим количеством злоумышленников, чем предполагалось изначально, причем многие из этих групп постоянно меняют RaaS («программа-вымогатель как услуга»), соблазняясь более выгодными предложениями.

Chainalysis также сообщил, что группа из пяти обменных порталов получает 82% всех средств от программ-вымогателей в 2020 году. Правоохранительные органы могут использовать эту информацию, чтобы прервать поток операций по отмыванию денег, полученных хакерами.^[10]

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год. Такие данные 25 ноября 2020 года обнародовали в компании Group-IB, специализирующейся на предотвращении кибератак.

По словам экспертов, упомянутая сумма — это минимум. Реальный ущерб может быть в несколько раз больше, поскольку зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертв, говорится в исследовании.

Group-IB: ущерб от вирусов-шифровальщиков в мире превышает $1 млрд в год

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%, порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%).

В пятерку отраслей, которые чаще всего подвергаются атакам шифровальщиков, входят:

• производство (94 жертвы);
• ритейл (51 жертва);
• государственные учреждения (39 жертв);
• здравоохранение (38 жертв);
• строительство (30 жертв).

Наиболее опасными шифровальщиками названы Maze и REvil — с конца 2019 года по конец ноября 2020-го на них приходится более 50% успешных атак. За ними идут Ryuk, NetWalker, DoppelPaymer.

Согласно оценкам Group-IB, за последний год к концу ноября 2020-го публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира.

В исследовании отмечается, что катализатором роста атак таких вирусов стали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Еще одной причиной их роста становится то, что используемые компаниями средства кибербезопасности «пропускают» шифровальщиков, не справляясь с обнаружением и блокировкой угроз на ранней стадии. Операторы шифровальщиков выкупают доступ и атакуют жертву.^[11]

Свыше 1 млрд долларов — суммарный ущерб от «шифровальщиков»

Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Аналитики резюмируют: наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков. Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем в два раза вырос объем рынка по продаже краденых банковских карт. В гонке противостояния проправительственных хакерских групп появились новые игроки, а считавшиеся сошедшими со сцены — возобновили атакующие действия.

Согласно отчету Hi-Tech Crime Trends 2020-2021, конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации.

Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).

Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.

По информации Group-IB, с конца 2019 года вымогатели взяли на вооружение следующую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.

В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.

С другими выводами Group-IB, собранными в рамках отчета Hi-Tech Crime Trends 2020-2021, можно ознакомиться в рамках специализированных статьях TAdviser:

• Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Читать далее - здесь.
• Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Читать далее - здесь.
• Объем рынка кардинга за исследуемый период вырос на 116% — с $880 млн до $1,9 млрд — по сравнению с 2019 годом. Высокие темпы роста характерны как для текстовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Читать далее здесь.

• В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия. Читать далее - здесь.

В целом отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ритейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.

Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем. Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.

Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

2016:Trend Micro: Киберпреступники заработали от программ-вымогателей 1 млрд долларов

Компания Trend Micro представила в июне 2017 года краткое содержание и основные выводы отчета «Программы-вымогатели: прошлое, настоящее и будущее» (Ransomware: Past, Present, and Future). Подробнее об исследовании см. Кибератаки.

Первая атака с использованием программы-вымогателя была зафиксирована в России между 2005 и 2006 гг. В сообщении хакеры требовали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы с наиболее распространенными расширениями: .DOC, .XLS, .JPG, .ZIP, .PDF и т.д. Позднее появились разновидности программ-вымогателей, способные зашифровать данные на мобильных устройствах и даже повлиять на работу главной загрузочной записи. В конце 2013 г. появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп, например, такие как CryptoLocker.

Основные выводы отчета и прогнозы компании:

• За 2016 г. количество семейств программ-вымогателей выросло на 752%.
• В 2016 г. средняя сумма выкупа за возвращение доступа к файлам составила 0,5−5 биткоинов.
• Атаки программ-вымогателей сегодня становятся все более целенаправленными, а в качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов/ страниц в Интернете (20%), а также наборы эксплойтов.
• Основной акцент злоумышленников смещается – с 2015 г. главной целью программ-вымогателей становятся на частные лица, а бизнес.
• Программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег.
• При атаке на бизнес, злоумышленники чаще всего зашифровывают базы данных компании, на втором месте - SQL файлы.
• В будущем возможно появление разновидностей программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями (ICS).

График ежемесячного прироста количества семейств программ-вымогателей, (2016)

Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:

• В сентябре в результате атаки программы-вымогателя на муниципалитет города Спрингфилд (штат Массачусетс, США), его файлы были недоступны 10 дней.
• В сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам.
• В ноябре муниципалитет округа Мэдисон (штат Нью-Йорк, США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов.
• В ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско (San Francisco Municipal Transportation Agency), власти были вынуждены сделать проезд на общественном транспорте в городе бесплатным на определённое время.
• В ноябре программа-вымогатель зашифровала порядка 33 тыс. файлов в системе муниципалитета округа Хауард (США).
• В декабре клиника East Valley Community Health Center в США подверглась атаке программы-вымогателя, в результате которой пострадали записи около 65 тыс. человек. Они содержали личную информацию, медицинские данные и данные страховки.

Для того, чтобы минимизировать возможные риски и защититься от программ-вымогателей Trend Micro рекомендует:

• Регулярно делать резервное копирование данных. При этом создавать три копии, в двух форматах, одну из копий необходимо хранить без доступа к Сети.
• Регулярно обновлять используемое на устройствах ПО.
• Проводить обучение персонала, освещая тему фишинга.
• Ограничить доступ к конфиденциальной информации в компании.
• Не платить выкуп.
• Использовать современные решения для информационной защиты, которые включают в себя сетевой мониторинг, технологии анализа поведения, защиту от уязвимостей и т.д.