Компания Group-IB представила отчет «Программы-вымогатели 2020-2021» — масштабное исследование одной из самых актуальных киберугроз в период пандемии COVID-19.
В прошлом году количество атак шифровальщиков выросло более чем на 150% по сравнению с предыдущим годом. Среднее время простоя атакованной компании — 18 суток, а сумма выкупа увеличилась почти вдвое — до $170 тыс. Основными целями хакеров стали корпоративные сети крупных компаний из Северной Америки, Европы, Латинской Америки, Азиатско-Тихоокеанского региона. Первые атаки эксперты фиксировали и в России: прогнозируется, что в 2021 г. волна шифровальщиков затронет российский бизнес и выйдет в СНГ.
«Золотая лихорадка» 2020 года
Программы-шифровальщики стали киберугрозой номер один как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 г., а средний размер суммы выкупа увеличился более чем в два раза и составил $170 тыс. в 2020 г. Самыми жадными вымогателями оказались Maze, DoppelPaymer и RagnarLocker. Сумма выкупа, который они требовали от жертвы, составляла в среднем от $1 млн до $2 млн.
В зоне риска оказались крупные корпоративные сети — целенаправленные атаки вымогателей (The Big Game Hunting)
парализовали в 2020 г. работу таких гигантов как Garmin, Canon, Campari, Capcom и Foxconn. Простой бизнеса от одной атаки составил в среднем 18 дней. Большинство проанализированных атак произошли в Северной Америке и Европе, где расположено много компаний из списка Fortune 500, а также в Латинской Америке и Азиатско-Тихоокеанском регионе.
В России, несмотря на негласное правило у киберпреступников «не работать по РУ», действовала русскоязычная преступная группа OldGremlin. Начиная с весны 2020 г. OldGremlin провела не менее девяти кампаний против российского бизнеса, среди жертв — банки, промышленные предприятия, медицинские организации и разработчики софта. В августе 2020 г. жертвой OldGremlin стала крупная компания с сетью региональных филиалов— за расшифровку с нее потребовали выкуп в $50 тыс.
Ransomware-as-a-Service
Одной из основных движущих сил феноменального роста программ-вымогателей стала модель Ransomware-as-a-Service («Вымогательство как услуга»). Ее смысл заключается в том, что разработчики продают или сдают в аренду свои вредоносные программы партнерам для использования в их атаках с целью компрометации сети, заражения и развертывания вымогателей. Вся полученная в виде выкупа прибыль затем распределяется между операторами и партнерами программы. 64% всех атак вымогателей, проанализированных в 2020 г., были связаны с операторами, использующих модель RaaS .
Еще одна тенденция 2020 г. — коллаборация между разными преступными группами. В прошлом году зафиксировано появление в андеграунде 15 новых публичных партнерских программ-вымогателей. Действующие преступные группы, использующие вредоносные программы Trickbot, Qakbot и Dridex, все чаще помогали операторам программ-вымогателей получать первоначальный доступ к корпоративным сетям.
Главным вектором атак для большинства банд вымогателей оказались публичные RDP-серверы (52%). На втором месте — фишинг (29%), затем эксплуатация общедоступных приложений (17%).
Прежде чем зашифровать данные, операторы вымогателей проводили в среднем 13 дней в скомпрометированной сети, стараясь предварительно найти и удалить все доступные резервные копии, чтобы жертва не могла восстановить зашифрованные файлы. Еще одним фактором успеха, позволившим бандам получать выкуп, стало предварительное хищение критически важных данных — документов, отчетов, чтобы использовать их в качестве рычага для давления на жертву — моду на подобный «двойной удар» задала печально известная группа Maze .
