Число кибератак с использованием программ-вымогателей по итогам января—мая выросло на 50–60% по сравнению с аналогичным периодом прошлого года. Причем хакеры сменили цели: если в начале года атаки так называемых вирусов-шифровальщиков были нацелены на компании малого и среднего бизнеса, то сейчас — на крупные компании из сфер ритейла и строительства, а для заражения устройств используются уязвимости в службах удаленного доступа.
Фото: Игорь Иванко, Коммерсантъ
Количество хакерских атак на российские компании с помощью вирусов-шифровальщиков (шифрующих файлы на устройствах, после чего вымогатели требуют плату за возврат к нормальной работе) с начала года растет. По итогам первого квартала 2023 года рост составил 77% в годовом выражении, подсчитали аналитики Positive Technologies. Тренд подтверждают в компании F.A.С.С.T. (бывшая Group-IB). По данным этой компании, количество таких атак с января по май 2023 года выросло на 50–60% по сравнению с аналогичным периодом прошлого года.
Злоумышленники начинают повышать суммы вымогаемых средств и стали чаще атаковать крупный бизнес, заметили в Positive Technologies.
В начале года, по данным специалистов в области кибербезопасности, атакам шифровальщиков чаще всего подвергались компании малого и среднего бизнеса (см. “Ъ” от 1 марта). Сейчас жертвами шифровальщиков чаще всего становятся ритейлеры, производственные, строительные, туристические и страховые компании, а средняя сумма выкупа колеблется от $10 тыс. до $100 тыс., говорят в F.A.С.С.T.
«Также на этот криминальный рынок выходят новые игроки. Из старых и крупных группировок ушли в тень Conti, Hive, Yanluowang, BlackMatter, REvil — почти все из-за преследования правоохранительными органами»,— говорит аналитик исследовательской группы Positive Technologies Федор Чунижеков. Проявляют повышенную активность группировки вымогателей BlackCat, LockBit, BlackBasta и Royal.
Наиболее популярным способом проникновения в сети организаций стала компрометация служб удаленного доступа и прежде всего проникновение через протокол удаленного рабочего стола (Remote Desktop Protocol, или RDP).
Также злоумышленниками активно эксплуатируются уязвимости внешних сервисов организаций и фишинговые рассылки.
Программы-вымогатели популярны у хакеров в силу относительной простоты схемы: для снятия блокировок компании должны реагировать быстро, а «выкуп» переводится на криптокошелек, что усложняет возможность установления злоумышленников, объясняют в «Информзащите».
На данный момент 100-процентной гарантии от вирусов-шифровальщиков нет, в том числе потому, что любой вирус модифицируется и развивается, объясняет заместитель гендиректора Zecurion Александр Ковалев. Кроме того, независимо от установленной защиты, средств мониторинга в компании и т. д. самым популярным каналом распространения вредоносного ПО, в том числе шифровальщиков, остается электронная почта. «И тут речь о человеческом факторе: нужно постоянно работать с персоналом, а это делается не всегда»,— заключает эксперт.