В наши дни кажется, что компании из всех секторов подвержены риску атаки программ-вымогателей, и трудно точно определить, какой тип бизнеса в какой отрасли является целью, в которой могут быть заинтересованы банды вымогателей.
Думая, что любой бизнес слишком мал, чтобы быть на радаре вымогателя есть опасное предположение — ни один бизнес не может быть слишком маленьким — 50% атак программ-вымогателей в прошлом году приходятся на предприятия малого и среднего бизнеса, а 55% — на предприятия с числом сотрудников менее 100 человек.
Но, взглянув на общую картину того, как программы-вымогатели росли и развивались за последние несколько лет, ИТ-специалисты и компании могут понять, насколько в опасности могут оказаться их организации и есть ли у них то, что нужно, чтобы оказаться в топе списка покупок киберпреступников.
Что делает отрасль привлекательной или непривлекательной?
Группы программ-вымогателей не слишком разборчивы. Большинство группировок считают целью что угодно, за очень немногими исключениями, особенно если эта цель имеет доступ к большим объемам ценных данных. Специалисты в области программ-вымогателей знают, что на продаже данных компании они могут заработать столько же или больше, чем просто на выкупе. Это одна из основных причин, почему риск программ-вымогателей неуклонно растет в течение последних двух лет. Бурно развивающийся рынок данных в дарквебе отправляет киберпреступников по тропам, по которым они не проходили много в прошлом, чтобы получить большие данные. Эти пути иногда также приводят злоумышленников к учетным данным, которые могут быть использованы для подпитки будущих кибератак или проникновения в системы более крупной организации.
Удивительно, но примерно половина операторов программ-вымогателей, проанализированных в недавнем исследовании сообщений на форумах в дарквебе, четко заявили о своей незаинтересованности в преследовании целей в правительстве, здравоохранении или образовании. Атаки на объекты инфраструктуры также непривлекательны, учитывая, что группа вымогателей DarkSide столкнулась после атаки Colonial Pipeline. Инфраструктура или государственные объекты традиционно являются прерогативой киберпреступников с государственной поддержкой, которые также часто используют программы-вымогатели. В средствах массовой информации сразу же начали циркулировать слухи о том, что атака на Colonial Pipelin была организована такой группировкой. Это одна из причин, по которой группа поспешила доложить на своего коллегу, но ущерб был нанесен, и атака заставила группу подвергнуться тщательной проверке, которая в конечном итоге привела к ее закрытию.
Насколько ценны ваши данные для банды программ-вымогателей?
Группы программ-вымогателей постоянно ищут данные. Согласно анализу в (DBIR 2021), вредоносные программы, такие как программы-вымогатели, были ответственны примерно за 30% инцидентов, которые привели к нарушению целостности хранилища данных компании.
Эти типы данных были вовлечены в большинство взломов, что делает их данными, которые киберпреступники, скорее всего, украдут у организации.
Типы данных, украденных при нарушениях (приблизительно с DBIR 2021)
- Учетные данные: 60%
- Личные идентифицирующие данные (PII): 40%
- Медицинские данные: 10%
- Банковские данные: 10%
- Внутренние данные: 10%
- Платежные данные: 10%
Каковы характеристики предприятий, подверженных риску?
Хотя ни одна отрасль не застрахована от нападений группировок программ-вымогателей, некоторые отрасли подвержены большему риску, чем другие. Причины, по которым отрасли становятся высокорисковыми, различаются, но несколько общих причин должны поднять красный флаг, если они применимы к вашему бизнесу.
Если ваш бизнес…
- Обрабатывает или хранит большие объемы личных данных
- Оказывает услуги крупной компании
- Находится в отрасли, которая находится под давлением
- Обрабатывает платежи или сохраняет платежную информацию
- Маловероятно имеет надежную защиту
- Не может защититься от фишинговых атак
- Не занимается обучением по вопросам безопасности
- Имеет доступ к данным и системам другой компании
- Является опорой в цепочке поставок
- Может предоставить доступ к инфраструктуре
- Внезапно оказывается в центре внимания
… Тогда ваш бизнес рискует оказаться на вершине повестки дня банды вымогателей.
Когда отрасль попадает под огонь?
Если отрасль находится в стрессовом состоянии, это идеальное время для нападения банд вымогателей. Они знают, что у них больше шансов получить деньги, если они нападают на компании в определенном секторе именно тогда, когда они в наибольшей нужде. То, как вымогатели путешествовали в дни, предшествовавшие вакцинации в пандемию, является хорошей иллюстрацией того, что привлекает отраслевых киберпреступников. Взгляд на то, как программы-вымогатели распространялись в одном направлении в 2020 и 2021 годах, дает отличную картину того, как отрасли становятся особенно привлекательными для плохих парней.
В течение большей части 2020 года атаки программ-вымогателей на медицинские организации, включая больницы, исследовательские центры и других поставщиков медицинских услуг, были безудержными, поскольку киберпреступники искали ценные исследования и данные по уходу за пациентами — популярный товар в дарквебе.
По мере продолжения пандемии киберпреступники нацелились на новые цели: фармацевтические компании, работающие над разработкой вакцины. Эта деятельность была особенно безудержной незадолго до того, как были объявлены первые вакцины, когда хакеры, поддерживаемые государствами, и другие злоумышленники нанесли удар по крупным фармацевтическим разработчикам, таким как Takeda, Dr. Reddy’s и Pfizer.
Затем они перешли к следующему критически необходимому сектору: специализированным компаниям по хранению, транспортировке и логистике, необходимым для вывода вакцины на рынок. В декабре 2020 года исследователи IBM объявили, что они обнаружили широко распространенные фишинговые операции, нацеленные на сотрудников автотранспортных компаний, железнодорожных компаний и компаний, занимающихся хранением в холодильниках, когда началось распространение вакцины.
Что еще делает компанию целью?
Банды программ-вымогателей стремятся найти простой способ атаковать организацию, и покупка учетных данных сотрудников всегда является их предпочтительным вариантом. Злоумышленники специально стремятся проникнуть в американские компании с минимальным доходом более 100 миллионов долларов. Приобретение доступа, включая активные или функциональные учетные данные сотрудников или знание уязвимости в корпоративной системе, позволяет им быстро и без суеты развернуть программы-вымогатели, которые могут быть вызваны другим методом, например фишингом.
Примерно 40% списков, содержащих учетные данные для доступа и разыскиваемые на форумах в дарквебе, были созданы игроками в пространстве Ransomware-as-a-Service (RaaS). Банды предлагали до 100 тысяч долларов за услуги первоначального доступа, при этом большинство участников устанавливали свою максимальную цену чуть больше половины этой суммы — 56 250 долларов. В других рекламных объявлениях, размещенных на популярном форуме, злоумышленники искали цели специально в США, Канаде, Австралии и Великобритании с доходом в 100 млн долларов и более. За этот доступ они были готовы заплатить от 3 тысяч до 100 тысяч долларов — и этого достаточно, чтобы соблазнить сотрудников, особенно в сложных экономических условиях.