Согласно отчету Group-IB Hi-Tech Crime Trends 2020-2021, наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков, ущерб от действия которых составил более 1 млрд долларов. Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний.
Конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации.
«Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы», — говорится в отчете Group-IB.
Согласно документу, наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ретейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).
«Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer», — сообщает Grout-IB.
Согласно отчету, стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.
«С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные», — говорится в документе.
В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.
