Вечный кибербой. Российский бизнес атакуют шифровальщики
В прошлом году количество атак программ-вымогателей на российские компании увеличилось более чем на 200%. Размер выкупа тоже растет. Средний его уровень в мире уже достиг почти $ 250 тыс. Под ударом оказываются все отрасли экономики. Мошенники изобретают новые тактики и инструменты обмана. В ситуации разбирался «Новый проспект».
По данным Group-IB, третий год подряд одной из самых серьезных и разрушительных киберугроз для бизнеса остаются атаки программ-вымогателей. Основные интересы вымогателей находятся в Северной Америке, Европе, Латинской Америке, Азиатско-Тихоокеанском регионе.
В прошлом году количество таких атак увеличилось более чем на 200%, причем уже на российские компании. Наиболее активными в России эксперты называют шифровальщиков Dharma, Crylock, Thanos. Русскоязычная группа OldGremlin в 2021 году провела всего одну атаку за год, однако у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей. Для сравнения: средний размер требуемого выкупа на мировом уровне в минувшем году составил $ 247 тыс.
В последнее время шифровальщики нацелены в России исключительно на крупный бизнес — тот, в котором работает более 5 тыс. сотрудников, в основном из отраслей строительства, страхования, агропромышленного комплекса.
Новые методы
Новой тенденцией, которую заметили эксперты, стал отход на второй план шифрования как инструмента давления на жертву. Теперь у компаний-жертв вымогают средства, угрожая выложить их конфиденциальные данные в публичный доступ. И, надо заметить, атакующие стали гораздо быстрее добиваться своих целей: если раньше среднее время нахождения шифровальщиков в сети жертвы составляло 13 дней, то в прошлом году оно сократилось до 9.
Самым частым способом получения первоначального доступа в сети компаний стала компрометация публичных RDP-серверов, то есть серверов для удаленного обслуживания пользователей. На этот вектор атаки приходится почти половина (47%) всех инцидентов.
В «Лаборатории Касперского» выяснили, что Россия вошла в пятерку стран, где было наибольшее число попыток атак на малый и средний бизнес через протоколы удаленного доступа (RDP) в январе-апреле 2022 года — почти 27,5 млн. Эксперты объясняют это тем, что многие из сотрудников компаний по-прежнему работают на удаленке.
«С массовым распространением дистанционной модели работы и внедрением множества продвинутых технологий в ежедневные бизнес-процессы даже в небольших компаниях нужно усиливать защиту. Вопрос не в том, произойдет ли атака, а в том, когда она произойдет. Нужно обучать сотрудников цифровой грамотности, поскольку сегодня такие навыки становятся обязательными, а не желательными», — уверен эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов.
На втором месте — старый добрый фишинг (рассылка спам-писем, 26%), на третьем — эксплуатация общедоступных приложений (21%).
Кроме того, мошенники стали пользоваться весьма экзотической схемой — вишингом. Во время телефонного разговора злоумышленники обманом заставляли жертву посетить подложный сайт и давали инструкции о том, как скачать и открыть вредоносный документ.
Руководитель кибербезопасности Сбербанка Сергей Лебедь добавляет, что среди новых тактик и инструментов проведения кибератак — внедрение кода в рекламные скрипты, применение вредоносного расширения для Google Chrome и т. д.
«Пользователи, в том числе корпоративные, часто хранят пароли в браузере, считая плюсом удобство, когда необходимые сведения автоматически подставляются в нужные поля. Однако нельзя забывать о том, что вредоносные программы, которые охотятся за данными браузеров, постоянно обновляются и дополняются новыми функциями, — советуют в «Лаборатории Касперского». — Например, некоторые из них умеют похищать информацию из приложений для двухфакторной аутентификации, которые генерируют одноразовые коды доступа. При этом используемые браузерами методы защиты — не преграда для вредоносного ПО».
До часа икс
«В 2021 году киберугроза №1 впервые получила серьезный отпор: начались аресты участников преступных групп, часть вымогателей вынуждена была залечь на дно или замести следы, проводя ребрендинг, — рассказал руководитель Лаборатории цифровой криминалистики Group-IB Олег Скулкин. — Однако, несмотря на некоторую обеспокоенность киберпреступного сообщества, атаки представителей других партнерских программ продолжаются, так что говорить о закате шифровальщиков пока еще рано».
По данным «Лаборатории Касперского», с января по апрель 2022 года в России число атак троянцев-стилеров на малый и средний бизнес выросло более чем в полтора раза по сравнению с первыми четырьмя месяцами 2021 года. Сергей Лебедь утверждает, что до 24 февраля банк фиксировал одну DDoS-атаку в неделю, а в марте их было одновременно 46.
В Сбербанке считают, что в ближайшее время количество DDoS-атак будет снижаться, однако их мощность продолжит расти, они станут более сфокусированными и скоординированными.
«Также возможно появление новых видов мошенничества из-за доступности большого количества баз данных. Логичным станет и дальнейшее развитие фишинговых кампаний с целью кражи учетных данных сотрудников организаций и последующего проникновения в инфраструктуру этих организаций», — делает неутешительный прогноз Сергей Лебедь.