Шифровальщикам сбили цену
Объемы выкупов хакеров-вымогателей значительно снизились
Хакеры, вымогающие выкуп за расшифровку и отказ от публикации украденных данных, стали требовать со своих жертв в РФ гораздо меньше средств, чем раньше. Это связано с ужесточением требований регуляторов к реагированию бизнеса на инциденты, а также с относительно невысокой стоимостью услуг расследователей инцидентов, считают участники рынка. Но снижается и себестоимость атак, так что мошенники вполне могут оставаться прибыльными. В то же время, признают эксперты, в России все еще работает ряд группировок, чьи выкупы достигают 1 млрд руб. В первую очередь такие хакеры нацелены на банки, страховые компании, ритейлеров и IT.
Специалисты по кибербезопасности, работающие на российском рынке, рассказали “Ъ”, что хакеры, которые используют вирусы-шифровальщики (попадая в компьютер, шифруют ценные файлы), в последнее время существенно снизили размеры денежного вознаграждения за данные своих жертв. Так, по данным «РТК-Солар», величина выкупа год к году снизилась более чем в 20 раз. Аналитик исследовательской группы Positive Technologies Федор Чунижеков подтверждает тенденцию, хотя его оценки отличаются. Во втором квартале, поясняет аналитик, медианный размер выкупа составил около $36 тыс., что меньше показателей конца 2021 года на 51%. Стартап по киберстрахованию Coalition в своем отчете утверждает, что в первом полугодии 2022 года злоумышленники предлагали их клиентам платить в среднем $896 тыс., что на треть меньше, чем в конце 2021 года.
Изменилась и себестоимость атак: цены на вирусное программное обеспечение для шифрования в даркнете упали в 10–12 раз, говорит директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков:
«В последнее время были опубликованы коды нескольких программ-шифровальщиков, которые стали доступны всем, поэтому хакеры даже с базовой подготовкой в состоянии создать вирус самостоятельно, не тратя деньги».
Весной, после начала конфликта на Украине, количество атак вирусов-шифровальщиков на российские компании утроилось. Как отмечали в Positive Technologies, каждая вторая атака на финансовый сектор в трех первых кварталах года проводилась с использованием вирусов-шифровальщиков. Но действия хакеров скорее носили политическую окраску. Так, группировки стали чаще публиковать полученную информацию, в том числе персональные данные пользователей, в открытом доступе. Раньше этим чаще только угрожали в рамках требований выкупа (см. “Ъ” от 12 мая).
По словам собеседника “Ъ” на рынке кибербезопасности, в 2022 году злоумышленникам приходится снижать размер выкупа, потому что, если он будет выше стоимости услуг компании, которая может расследовать инцидент легально, злоумышленникам просто не заплатят. По мнению собеседника “Ъ”, снижение требований также связано с пристальным вниманием регуляторов к теме информбезопасности компаний и проработкой карательных мер за утаивание инцидентов. С 1 сентября 2022 года вступили в силу изменения в законе «О персональных данных», по которым компании, осуществляющие обработку данных пользователей, обязаны в случае утечки в течение 24 часов уведомить Роскомнадзор, а в течение 72 часов предоставить результаты внутреннего расследования инцидента с указанием причины и виновных лиц.
«Важно понимать, что, привлекая компанию на расследование, заказчик получает информацию о том, как злоумышленники проникли в сеть, какими уязвимостями воспользовались, и может закрыть этот путь»,— отмечает Владимир Дрюков. В противном случае, поясняет он, велика вероятность, что «снаряд попадет два раза в одну воронку» и организация, заплатившая выкуп, будет опять взломана.
Но, как рассказали “Ъ” в Group-IB, в России все равно остаются злоумышленники с высокими запросами.
В их числе, говорит руководитель лаборатории компьютерной криминалистики Group-IB Олег Скулкин, например, группа хакеров OldGremlin, которая сейчас нацелена на крупные предприятия — банки, логистические, промышленные и страховые компании, а также ритейлеров и IT: «Если в 2021 году OldGremlin требовали у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб.».