19.08.2023 | Ищите себя в утечках даркнета: исследователи назвали ТОП-5 самых опасных вымогательских банд 2023 года |
Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год. Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше. Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года. Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?). Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию. Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них. LockBit — 18,7% наблюдаемых случаевХакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов. Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления. Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа ( IAB ), чтобы ускорить проведение атак и поразить как можно большее число компаний. ALPHV / Blackcat — 18,7% наблюдаемых случаевДанная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения. ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола ( RDP ). Хакеры Blackcat нацелены как на машины под управлением Windows и Linux , так и на устройства NAS , которые часто используются для хранения резервных копий и конфиденциальных данных. Black Basta — 12,9% наблюдаемых случаевЭта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS , а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта. Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками. Royal – 12,9% наблюдаемых случаевВ кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты. У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций ( и даже целых городов ), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства. Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв. Akira – 12,26% наблюдаемых случаевЭто относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti. Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США. Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике . Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение. Что в сухом остатке?Какая бы хакерская группировка не стояла во главе вымогательской отрасли, само по себе вымогательство продолжает оставаться одной из наиболее опасных и прибыльных форм киберпреступности. Несмотря на совершенствование защитных методов и возможностей восстановления данных, ущерб от подобных атак по-прежнему колоссален. Чтобы эффективно противостоять подобным угрозам, организации должны внедрять комплексный подход к обеспечению кибербезопасности, включающий регулярное резервное копирование, сегментацию сети, обучение персонала, использование современных средств защиты и мониторинга. Только так можно минимизировать риски и уберечь бизнес от разорительных последствий атак вымогателей. |
Проверить безопасность сайта