Отчет: средняя сумма выкупа, уплаченного из-за блокировки данных программами-вымогателями увеличилась на 171%

По оценкам компании по кибербезопасности Emisoft, общая глобальная стоимость ущерба от программ-вымогателей, включая прерывание бизнеса и выплаты выкупа в 2020 году, составила минимум 42 миллиарда долларов США, а максимум почти 170 миллиардов долларов США.

Опрос, проведенный Veritas Technologies, показал, что 66 % жертв признались в уплате части или всей суммы выкупа, согласно отчету, опубликованному в среду фирмой eSentire, занимающейся управляемым обнаружением и реагированием.

В отчете, подготовленном группой исследователей безопасности eSentire, который назвали Threat Response Unit (TRU), было обнаружено, что в этом году шесть банд вымогателей заявили о не менее 290 новых жертвах. Суммарная стоимость выкупа потенциально принесла хакерам 45 миллионов долларов.

Исследователи компании eSentire объединились с исследователем даркнета Майком Мэйсом, чтобы отследить группы программ-вымогателей Ryuk/Conti, Sodin/REvil, CLOP и DoppelPaymer. Они также отслеживали еще две кибергруппы, известных как DarkSide и Avaddon.

Напомним, что кибергруппа DarkSide ответственна за атаку вымогателя Colonial Pipeline в начале этого месяца.

TRU и Хейс из Esentire обнаружили, что в 2020 году определенные группы атаковали сотни жертв и коллективно скомпрометировали 292 новые организации в период с 1 января по 30 апреля этого года. По оценкам исследователей, средняя сумма выкупа, который выплатили вымогателям атакованные организации за этот период увеличилась со 115 123 долларов в 2019 году до 312 493 долларов в 2020 году, что на 171 % больше по сравнению с аналогичным периодом 2019 года.

"Существует гораздо больше успешных атак с использованием программ-вымогателей, которые скомпрометировали компании, чем общественность может себе представить. На самом деле нет отрасли/бизнеса, которые не могли бы стать потенциальной целью этих групп", - сказал вице-президент eSentire Марк Сангстер в интервью.

Растущий бизнес киберпреступности

Атаки программ-вымогателей происходят все чаще. Нередко факт выплаты выкупа скрывается жертвами из-за опасений за имидж компании или потерю общественного доверия. Однако хакерские группы не стесняются самостоятельно сообщать о своих успешных эксплойтах в своих личных блогах или на сайтах утечек.

В отчете eSentire отмечены три новых атаки за последние три месяца:

• Tata Steel - взломана группой вымогателей Sodin/REvil в апреле. Tata Steel отказалась выплатить выкуп в размере 4 миллионов долларов.
• Школьный округ Бровард - скомпрометирован бандой Рюк/Конти в марте. Злоумышленники потребовали 40 миллионов долларов, и в округе заявили, что не будут платить.
• Quanta Computer - производитель MacBook следующего поколения от Apple, также был атакован Sodin/REvil. Сообщается, что в апреле хакеры потребовали 50 миллионов долларов сначала у Quanta, которая отказалась от вымогательства, а затем у Apple.

Однако, исследователи отметили, что, несмотря на увеличение количества сообщений об атаках программ-вымогателей в средствах массовой информации, организации-жертвы, о которых сообщают средства массовой информации, - это капля в море по сравнению с реальными событиями.

Один инцидент с вымогательством, который произошел в прошлом месяце, но так и не стал достоянием общественности, касался небольшой частной американской компании. По словам высокопоставленного сотрудника организации, попросившего не называть его имени, злоумышленники потребовали 12 миллионов долларов, которые компания заплатила.

Поскольку кибератаки развиваются с головокружительной скоростью, разведка киберугроз (CTI) стала важнейшим компонентом программ кибербезопасности. "Без разведки организации летят вслепую в бурном потоке", - сказал Дов Лернер, руководитель отдела исследований в области безопасности в Sixgill.

"На стратегическом уровне CTI позво ляе т руководителям понять ландшафт угроз и оценить риски для своих организаций. На более тактическом уровне CTI используется для блокировки злонамеренных индикаторов взлома и обнаружения скомпрометированных данных", - сказал Лернер.

Он добавил, что по мере оцифровки ежедневного бизнеса и деятельности у участников даркнета появляется больше возможностей потреблять и использовать конфиденциальные данные, размещенные на подпольных платформах. Подполье киберпреступности только продолжает расти, а пандемия и экономический кризис могут побудить все больше субъектов угрозы искать незаконную финансовую деятельность, а в последнее время - радикальный политический дискурс.

Никаких сомнений в успехе

Сангстер сказал, что его исследователи полностью верят в то, что организации, которые, по утверждениям этих групп, скомпрометированы, действительно стали жертвами атак по нескольким причинам, в том числе:

• По каждой из групп программ-вымогателей, в подробностях отчета приводятся многочисленные примеры различных файлов и документов, которые, по их утверждениям, были украдены у компаний-жертв. К тому же все они выглядят аутентично.
• Исследователи видели, как хакерские группы размещали файлы жертвы на своих сайтах. Позже, возможно, через несколько недель, цель публично заявляет о том, что она подверглась атаке с помощью программы-вымогателя.
• Этим группам вымогателей не выгодно лгать о жертвах, которых, по их утверждениям, взломаны. Если бы они разместили на своем сайте утечки информацию о жертвах, которые не подверглись атаке, то слух распространяется очень быстро и ни одна жертва не заплатит им.

"Наша группа по исследованию безопасности, TRU и исследователь даркнета Майк Мэйс заходили в темн ый Интернет и потратили много времени на анализ блогов/сайтов утечек этих шести групп вымогателей, а также проанализировали их TTP, которые собирались с тех пор, как группы начали свою преступную деятельность ", - сказал Сангстер.

Он также добавил, что исследователи кибербезопасности недавно завершили все свои поиски и теперь делятся реузльтатами и деталями с различными правоохранительными органами.

Расширенный список атак

Esentire и Mayes обнаружили, что шесть групп программ-вымогателей, которые они отслеживали для этого отчета, продолжают нацеливаться не только на обычных подозреваемых - правительство штата и местные органы власти, школьные округа, юридические фирмы, больницы и медицинские организации. Они расширили свой хит-лист, включив в него производителей, транспортных/логистических компаний и строительные фирмы в США, Канаде, Южной Америке, Франции и Великобритании.

Вот краткий список действующих преступных групп и число их жертв:

Ryuk/Conti

Группа вымогателей Ryuk/Conti впервые появилась в августе 2018 года. Их первоначальными жертвами, как правило, были организации, базирующиеся в США. К ним относятся технологические компании, поставщики медицинских услуг, образовательные учреждения, поставщики финансовых услуг, а также многочисленные государственные и местные правительственные организации.

Банда поразила в общей сложности 352 организации, скомпрометировав 63 компании и организации частного сектора только в этом году. TRU обследовал 37 из 63 жертв Рюка, и среди них 16 были производителями, которые производили все, от медицинских устройств до промышленных печей, оборудования для электромагнитного излучения и программного обеспечения для школьной администрации.

Сообщается, что в 2021 году Рюк скомпрометировал транспортные/логистические компании, строительные компании и организации здравоохранения.

Sodin/REvil

Sodin / REvil перечислил 161 новую жертву в этом году, 52 из которых были производителями, а также несколькими организациями здравоохранения, транспортными/логистическими компаниями и строительными фирмами. В марте группа напала на производителя компьютеров и электроники Acer и потребовала выкуп в размере 50 миллионов долларов.

Когда Quanta Computer, производящая ноутбуки для Apple, отказалась вести переговоры, преступники из Sodin обратились к Apple за выкупом. Хакеры Sodin разместили в своем блоге "Happy Blog" предупреждение о том, что, если им не заплатят, они опубликуют то, что, по их утверждениям, является техническими деталями текущего и будущего оборудования Apple.

DoppelPaymer

Группа вымогателей DoppelPaymer появилась в 2019 году. На веб-сайте группы DoppelPaymer утверждается, что они скомпрометировали 186 жертв с момента своего дебюта, 59 из которых только в 2021 году. Среди жертв - многочисленные государственные и местные правительственные организации, а также несколько учебных заведений.

В декабре 2020 года ФБР выпустило предупреждение о том, что "с конца августа 2019 года неустановленные лица использовали программу-вымогатель DoppelPaymer для шифрования данных от жертв в критически важных отраслях по всему миру, таких как здравоохранение, службы экстренной помощи и образование, прерывая доступ граждан к услугам".

О многих малых и средних предприятиях, которые группа объявляет жертвами, никогда не сообщалось в прессе, равно как и о многих организациях государственного сектора. Одним из исключений является Генеральная прокуратура Иллинойса, которая впервые обнаружила атаку DoppelPaymer 10 апреля 2021 года.

Clop (Cl0p)

Программа-вымогатель Clop впервые появилась в феврале 2019 года и стала более известной в октябре 2020 года, когда ее операторы стали первой группой, потребовавшей выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая фирма Software AG, отказалась платить.

В этом году Клоп попал в заголовки газет за то, что отбирал украденные данные жертв, извлекал контактную информацию клиентов и партнеров компании и отправлял им электронные письма с призывом заставить компанию-жертву заплатить выкуп.

DarkSide

DarkSide - относительно новая группа программ-вымогателей. TRU Esentire начал отслеживать ее в декабре прошлого года, примерно через месяц после того, как она появилась. Операторы заявляют в своем блоге, что в общей сложности было скомпроментировано 59 организаций, из них 37 в 2021 году.

Жертвы находятся в США, Южной Америке, на Ближнем Востоке и в Великобритании. Среди них производители всех видов продукции, такие как энергетические компании, компании по производству одежды, туристические компании.

13 мая сайт/блог DarkSide отключился, а злоумышленники заявили, что он потерял доступ к инфраструктуре, которую использует для работы, и будет закрыт. В уведомлении упоминались сбои со стороны правоохранительных органов и давление со стороны США. До того, как веб-сайт DarkSide был закрыт, операторы всегда заявляли, что они распространяли свое вредоносное ПО с помощью модели "вымогатель как услуга".

Операторы DarkSide заявили, что они похожи на Робин Гуда, преследуя только прибыльные компании, которые могут позволить себе заплатить выкуп. Операторы группы также отметили, что они не будут атаковать больницы, учреждения паллиативной помощи, дома престарелых, похоронные бюро и компании, участвующие в разработке и распространении вакцины Covid-19, согласно отчету eSentire.

Avaddon

Операторы Avaddon, чьи требования о выкупе впервые появились в феврале 2019 г., утверждают, что за время своего существования они заразили 88 жертв, из них 47 - в 2021 г. Девять атак программ-вымогателей проводились по модели "программа-вымогатель как услуга".

Его операторы позволяют аффилированным лицам использовать программу-вымогатель, при этом часть прибыли выплачивается разработчикам Avaddon. По сообщениям Esentire, злоумышленники Avaddon также предлагают своим жертвам круглосуточную поддержку и ресурсы по покупке биткойнов, тестированию файлов для расшифровки и другим проблемам, которые могут помешать жертвам уплатить выкуп.

Как избежать атак программ-вымогателей

По данным eSentire, группы программ-вымогателей наносят ущерб гораздо большему количеству организаций, чем общественность осознает. Ни одна отрасль не застрахована от этого бедствия, которое происходит во всех регионах и секторах экономики.

Esentire дает следующие рекомендации по защите от атак программ-вымогателей:

• Сделайте резервную копию всех важных файлов и храните их в автономном режиме;
• Установите многофакторную аутентификацию для доступа к службам виртуальной частной сети (VPN) или протокола удаленного рабочего стола (RDP) вашей организации;
• Разрешить только администраторам доступ к сетевым устройствам с помощью службы VPN;
• Контроллеры домена являются ключевой целью для злоумышленников. Убедитесь, что ваша группа безопасности имеет видимость ваших ИТ-сетей с помощью агентов обнаружения и ответа конечных точек (EDR) и централизованного ведения журнала на контроллерах домена (DC) и других серверах;
• Применяйте принцип наименьших привилегий по отношению к сотрудникам;
• Отключите RDP, если он не используется;
• Регулярно исправляйте системы, отдавая приоритет вашим ключевым IТ-системам;
• Сегментируйте сеть;
• Обязательное обучение пользователей для всех сотрудников компании.

"С точки зрения индустрии кибербезопасности компаниям доступны несколько очень эффективных служб, инструментов и политик безопасности, которые значительно помогают им защитить свои ценные данные и приложения от киберугроз, таких как программы-вымогатели, компрометация корпоративной электронной почты, кибершпионаж и уничтожение данных" - говорит эксперт.

Apple Covid Доллар Короновирус Правительство Правоохранители США