- 21,346
- 46
- 8 Ноя 2022
Кто же снится руководителям корпораций в ночных кошмарах?
Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год.
Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше.
Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года.
Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?).
Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию.
Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них.
<h4> LockBit — 18,7% наблюдаемых случаев </h4> Хакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов.
Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления.
Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа ( IAB ), чтобы ускорить проведение атак и поразить как можно большее число компаний.
<h4> ALPHV / Blackcat — 18,7% наблюдаемых случаев </h4> Данная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения.
ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола ( RDP ).
Хакеры Blackcat нацелены как на машины под управлением Windows и Linux , так и на устройства NAS , которые часто используются для хранения резервных копий и конфиденциальных данных.
<h4> Black Basta — 12,9% наблюдаемых случаев </h4> Эта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS , а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта.
Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками.
<h4> Royal – 12,9% наблюдаемых случаев </h4> В кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты.
У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций ( и даже целых городов ), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства.
Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв.
<h4> Akira – 12,26% наблюдаемых случаев </h4> Это относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti.
Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США.
Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике .
Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение.
<h4> Что в сухом остатке? </h4> Какая бы хакерская группировка не стояла во главе вымогательской отрасли, само по себе вымогательство продолжает оставаться одной из наиболее опасных и прибыльных форм киберпреступности.
Несмотря на совершенствование защитных методов и возможностей восстановления данных, ущерб от подобных атак по-прежнему колоссален. Чтобы эффективно противостоять подобным угрозам, организации должны внедрять комплексный подход к обеспечению кибербезопасности, включающий регулярное резервное копирование, сегментацию сети, обучение персонала, использование современных средств защиты и мониторинга.
Только так можно минимизировать риски и уберечь бизнес от разорительных последствий атак вымогателей.
Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год.
Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше.
Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года.
Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?).
Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию.
Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них.
<h4> LockBit — 18,7% наблюдаемых случаев </h4> Хакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов.
Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления.
Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа ( IAB ), чтобы ускорить проведение атак и поразить как можно большее число компаний.
<h4> ALPHV / Blackcat — 18,7% наблюдаемых случаев </h4> Данная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения.
ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола ( RDP ).
Хакеры Blackcat нацелены как на машины под управлением Windows и Linux , так и на устройства NAS , которые часто используются для хранения резервных копий и конфиденциальных данных.
<h4> Black Basta — 12,9% наблюдаемых случаев </h4> Эта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS , а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта.
Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками.
<h4> Royal – 12,9% наблюдаемых случаев </h4> В кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты.
У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций ( и даже целых городов ), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства.
Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв.
<h4> Akira – 12,26% наблюдаемых случаев </h4> Это относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti.
Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США.
Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике .
Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение.
<h4> Что в сухом остатке? </h4> Какая бы хакерская группировка не стояла во главе вымогательской отрасли, само по себе вымогательство продолжает оставаться одной из наиболее опасных и прибыльных форм киберпреступности.
Несмотря на совершенствование защитных методов и возможностей восстановления данных, ущерб от подобных атак по-прежнему колоссален. Чтобы эффективно противостоять подобным угрозам, организации должны внедрять комплексный подход к обеспечению кибербезопасности, включающий регулярное резервное копирование, сегментацию сети, обучение персонала, использование современных средств защиты и мониторинга.
Только так можно минимизировать риски и уберечь бизнес от разорительных последствий атак вымогателей.
- Источник новости
- www.securitylab.ru
