Хакеры-вымогатели стали чаще нападать на российские компании, вместе с этим выросли и запросы злоумышленников. Специалисты компании Group-IB зафиксировали рекордную для России сумму выкупа. Хакеры из группировки OldGremlin запросили за разблокировку украденных данных миллиард рублей. Для доступа к сведениям они использовали стандартную схему с вредоносными письмами. Однако сообщение было составлено слишком правдоподобно, что большая редкость для преступников. Как им удается уже несколько лет обманывать компании? И что делает бизнес для защиты от киберпреступников? Разбирался Владислав Викторов.
Русскоязычная группировка OldGremlin существует с 2020 года. Она специализируется на атаках на компании из России. И за два года ей удалось получить доступ к базам 16 организаций. Среди них — банки, ритейл и страховые компании. Злоумышленники используют стандартную схему с рассылкой фишинговых писем, в которые вкладывается зараженный файл. Клик по нему открывает доступ к локальной сети, а дальше остается только зашифровать нужные сведения.
Казалось бы, в 2022-м каждый знает, что на сообщения от неизвестных реагировать не нужно. Но хакеры отправляли письма от лица, например, белорусского завода МТЗ, сервиса «1С-Битрикс» и даже медиахолдинга РБК. И такая изощренность — редкость для киберпреступников, говорит руководитель отдела динамического анализа Group-IB Threat Intelligence Иван Писарев:
«Это, с одной стороны, устаревшая схема, потому что, как показала практика, рассылать массово и атаковать тех, кого заразили веерно, проще, чем подготавливать хорошие таргетированные письма. С другой стороны, они следят за актуальными трендами, в том числе за новостной повесткой. Первые их атаки с фишинговыми письмами в 2020 году были связаны с COVID-19 — довольно хайповая тема на тот момент».
В прошлом году OldGremlin уже ставили рекорд по размеру суммы выкупа. Тогда они запросили 250 млн руб. за расшифровку данных. Примечательно, что они не ставят перед собой задачу передавать краденую информацию третьим лицам. Они зарабатывают именно на выкупах. Хотя с учетом объемов украденной информации, не исключено, что в будущем они переквалифицируются, потому что платят не так уж много пострадавших компаний, говорит консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий:
«По статистике где-то четверть компаний выплачивают выкуп, дальше, к сожалению, все зависит непосредственно от самой хакерской группировки.
В ряде случаев предприятия ожидают, что правоохранительные органы смогут помочь вернуть доступ, или специализированные компании найдут брешь в работе шифровальщиков и вернут данные. Если нет резервных копий, то зачастую единственный вариант — заплатить выкуп».
До сих пор российский бизнес был уверен в том, что отечественные компании неинтересны хакерам-вымогателям. Однако за два года количество подобных атак увеличилось более чем на 200%, говорят в Group-IB. Гендиректор металлургического завода «Элкат» Максим Третьяков в качестве мер предосторожности отключил часть своего оборудования от внешней сети. Несколько лет назад он уже сталкивался с вымогателями:
«Был один эпизод, когда на почту пришли зараженные письма, и за раскодирование файлов просили выкуп. Там оказались зашифрованными вордовские и экселевские файлы. Честно говоря, не настолько важные и нужные, что мы плюнули и все переделали. Были копии, некоторые файлы надо было бы и забыть и уже давно их стереть. В общем, мы не стали с ними торговаться».
При этом универсальных способов защиты от хакеров-вымогателей нет, признают эксперты. Во многом утечки происходят именно из-за сотрудников, которые беспечно переходят по ссылкам из почты. Единственное, что поможет бизнесу в такой ситуации, — это хранить и постоянно обновлять резервные копии.
Новости в вашем ритме — Telegram-канал "Ъ FM".
Все материалы Коммерсантъ www.kommersant.ru