Средний чек $247 000, ровно во столько ценят себя вымогатели-локеры в реалиях 2022 года. По данным лидера в сфере кибербезопасности, компании Group-IB, самыми агрессивными, жадными и беспринципными признаны группировки LockBit, Conti и Pysa.
С вами канал “Цифровое просвещение”. Здесь трём за все, что связано с ИТ-сферой. И, да, у нас есть печеньки. Так что велком на темную сторону!
Романтики с большой дороги
2021 год ознаменовался астрономическим ростом сумм выкупа, когда средний чек отступных стал равняться $247 000. И Россию сия беда не миновала, активность локеров в нашей стране возросла в 4 раза по сравнению с прошлым годом.
Статистика эффективности киберпреступников растет. В 2021 году большая часть из 700 атак была нацелена на страны Северной Америки, Европы, Латинской Америки, Азиатско-Тихоокеанского региона.
Шифровальщики прославились нападениями на: концерн Toshiba, американскую трубопроводную систему Colonial Pipeline, крупнейшего производителя мяса JBS Foods, и IT-гиганта Kaseya. Чемпионом по выкупу стала группировка Hive, которая потребовала от немецкого холдинга MediaMarkt выкуп в размере $240 млн. Увеличилось и время простоя атакованного предприятия - с 18 до 22 дней.
Что касается России, то и тут все неспокойно. Увеличение прессинга на рунет возросло на 200%. Активными игроками стали хакерские группировки Dharma, Crylock, Thanos. А вот русскоязычная OldGremlin как-то затихла, хотя и не снизила “качества” своих услуг. Так, одна из жертв столкнулась с необходимостью выкупа в размере 250 000 000 рублей.
В 2022 году атаки зловредного ПО шифрователей возросли в 4 раза. Целью таких программ чаще всего является крупный бизнес. Как правило, это строители, страховщики, агропромышленные комплексы.
Слив персональных данных
Новый тренд локеров и шифровальщиков - блокировка лишь фон, на первое место выходит обнародование личных данных компании, так называемых, DLS (Dedicated Leak Site). 2021 стал рекордным в этом плане, такой схемой пользовались 63% злоумышленников.
Рост обнародования таких данных достиг рекордного значения в 935% — с 229 до 2 371. При этом сократилось и время принятия решения с 13 до 9 дней.
Также эксперты отметили и тягу хакерских групп к «ребрендингу». Ведь пристальное внимание правоохранительных органов к такой деликатной сфере не есть гуд. Например, исчезли DarkSide и REvil, зато появился – BlackMatter, а потом и BlackCat. Весной этого года группировка DoppelPaymer назвала свои новые программы-вымогатели в Grief (Pay OR Grief).
Как и в любом бизнесе, локеры стали унифицировать свои приемы и методы. Отмечены факты сотрудничества между группировками, обмен опытом, переход специалистов из команды в команду. Широко применяются открытые доступы к методикам и инструкциям злоумышленников. Примером последнего служит практика группировка Conti.
Способы проникновения
Самый привычный способ внедрения - компрометация публичных RDP-серверов. Таким путем действует 47% преступников, ведь многие сотрудники сейчас работают на удаленке. Потом фишинг - 26%, на последнем общедоступные приложения - 21%.
Прошлый год отметился так называемыми уязвимостями “нулевого дня”. Так поступила группировка REvil, атакуя клиентов Kaseya, на серверах VSA. Другая группировка FIN11 (ПО шифровальщик Clop) использовала уязвимости устаревшего средства передачи файлов Accellion File Transfer Appliance (FTA).
Хакеры стали обмениваться своими инструментами. К примеру, группа IcedID получала первоначальный доступ в корпоративные сети через партнерку от Egregor, REvil, Conti, XingLocker, RansomExx.
Пост-эксплуатация у вымогателей налажена при помощи решения Cobalt Strike, оно замечено в 60% случаев. Хотя есть и другие варианты по типу кроссплатформенного фреймворка Sliver.
Итак, друзья, как видите локинг и шифрование живее всех живых! И в 2022 году активность хакеров будет только расти. Будьте внимательны!
Всем высоких скоростей и удачи!
Кстати, по поводу железа, ПО и прочих услуг. Если загляните на официальный сайт нашей компании, то найдете много чего интересного.
А еще обязательно заходите в наши соц. сети, там вас ждет еще больше нового интересного контента: