Охотники на корпорации: топ-5 кибергруппировок-вымогателей

Мы изучили самые активные группировки, которые взламывают компании, шифруют данные и требуют выкуп.

Топ-5 самых опасных шифровальщиков 2021

За последние пять лет зловреды-шифровальщики превратились из угрозы персональным компьютерам в серьезную опасность для корпоративных сетей. Преступники перестали гнаться за количеством зараженных компьютеров и вместо этого переключились на крупные цели. Атаки на коммерческие организации и государственные структуры приходится тщательно планировать, но в случае успеха суммы выкупов достигают десятков миллионов долларов.

Вымогатели пользуются тем, что у компаний гораздо больше финансовых возможностей, чем у рядовых пользователей. Кроме того, многие современные вымогатели крадут данные перед тем, как их зашифровать, и угрожают их публикацией. Таким образом, перед пострадавшей компанией появляется перспектива репутационных издержек, проблем с акционерами и штрафов регуляторов, которая зачастую оказывается страшнее выкупа.

По нашим данным, переломным стал 2016 год, когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое: если в январе 2016 мы фиксировали один случай каждые две минуты, то к концу сентября между инцидентами проходило всего 40 секунд.

С 2019 года эксперты наблюдают регулярные кампании целой серии таргетированных шифровальщиков (так называемые «big game hunting ransomware»). Их операторы публикуют на своих ресурсах статистику по проведенным атакам. Мы использовали эти данные, чтобы составить рейтинг самых активных кибергруппировок.

1. Maze (он же ChaCha)

Зловред-вымогатель Maze был впервые замечен в 2019 году и быстро вырвался в лидеры среди себе подобных. Из общего числа жертв более трети атак пришлось на этот шифровальщик. Одна из характерных особенностей Maze — стоящая за ним группировка одной из первых начала похищать данные перед шифрованием. Если пострадавшие отказывались платить выкуп, преступники угрожали опубликовать украденные файлы. Позже этот прием подхватили многие другие вымогатели, включая REvil и DoppelPaymer, о которых мы расскажем ниже.

Еще одно новшество — преступники стали сообщать СМИ о своих атаках. В конце 2019 года злоумышленники из Maze связались с редакцией Bleeping Computer, рассказали им о взломе компании Allied Universal и в качестве подтверждения приложили несколько украденных файлов. В ходе переписки с редакцией они угрожали разослать спам с серверов Allied Universal, а позднее опубликовали конфиденциальные данные взломанной компании на форуме Bleeping Computer.

Атаки Maze продолжались до осени 2020 года — в сентябре группировка начала сворачивать свою деятельность. К этому времени от ее деятельности пострадали несколько международных корпораций, государственный банк одной из стран Латинской Америки и информационная система одного из городов США. В каждом случае вымогатели требовали у жертв суммы в несколько миллионов долларов.

2. Conti (он же IOCP ransomware)

Этот зловред появился в конце 2019 года и был весьма активен на протяжении всего 2020-го: на его счету более 13% всех жертв программ-вымогателей за этот период. Создатели Conti продолжают деятельность и сейчас.

Интересная деталь в атаках Conti — злоумышленники предлагают своим жертвам помощь с укреплением безопасности, если компания согласится заплатить выкуп. «Вы получите инструкции, как залатать дыры в защите. Мы также порекомендуем вам специальное ПО, которое доставляет взломщикам наибольшие проблемы», — заверяют преступники.

Как и в случае Maze, вымогатели не только шифровали, но и сохраняли себе копию файлов из взломанных систем. Затем преступники угрожали опубликовать всю добытую информацию в Интернете, если жертва не выполнит их требования. Среди самых громких атак Conti — взлом школы в США, после которого у администрации потребовали $40 миллионов. Представители учреждения отметили, что были готовы заплатить $500 тысяч, но когда услышали сумму в 80 раз больше, отказались от переговоров.

3. REvil (он же Sodin, Sodinokibi)

Первые атаки этого шифровальщика были обнаружены в начале 2019 года в азиатских странах. Зловред быстро привлек внимание экспертов своими техническими особенностями — например, он использует легитимные функции процессора, чтобы обходить защитные системы. Кроме того, в его коде были характерные признаки того, что вымогатель создавался для сдачи в аренду.

В общей статистике жертвы REvil составляют 11%. Зловред отметился почти в 20 отраслях бизнеса. Наибольшую долю (30%) его жертв составляют промышленные предприятия, за ними идут финансовые организации (14%), сервисные провайдеры (9%), юридические фирмы (7%), а также телекоммуникационные и IT-компании (7%). На последнюю категорию пришлась одна из самых громких атак шифровальщика: в 2019 году преступники взломали нескольких IT-провайдеров и установили Sodinokibi части их клиентов.

Этой группировке на сегодняшний день принадлежит рекорд по размеру запрашиваемого выкупа — в марте 2021 злоумышленники потребовали у корпорации Acer $50 миллионов.

4. Netwalker (он же Mailto ransomware)

Из общего числа пострадавших на долю Netwalker пришлось более 10% жертв. Среди целей вымогателей — логистические гиганты, промышленные концерны, энергетические корпорации и другие крупные организации. Всего за несколько месяцев 2020 года выручка преступников превысила $25 миллионов.

Создатели зловреда, похоже, решили нести кибервымогательство в массы. Они предлагали мошенникам-одиночкам взять Netwalker в аренду и в случае успешной атаки получить солидную часть прибыли. По сведениям Bleeping Computer, доля распространителя зловреда могла достигать 70% от выкупа, хотя обычно исполнители в подобных схемах получают гораздо меньше.

В подтверждение серьезности своих намерений преступники публиковали скриншоты крупных денежных переводов. Чтобы максимально упростить аренду шифровальщика, они создали сайт, который автоматически публиковал похищенные данные по истечении срока, отведенного на внесение выкупа.

В январе 2021 года правоохранительные органы взяли под контроль инфраструктуру Netwalker и предъявили обвинение гражданину Канады Себастьяну Вашон-Дежардену (Sebastien Vachon-Desjardins). По мнению следствия, этот человек получал деньги за поиск жертв и распространение шифровальщика на их компьютерах. После этих событий активность Netwalker сошла на нет.

5. DoppelPaymer

Последний «герой» нашего обзора — вымогатель DoppelPaymer. Его жертвы составляют около 9% в общей статистике. Его создатели также отметились и другими зловредами, в том числе банковским ботом Dridex и уже ушедшим на покой шифровальщиком BitPaymer (FriedEx), который считают более ранней версией DopplePaymer. Так что общее число жертв группировки гораздо больше.

Среди коммерческих организаций от DoppelPaymer пострадали производители электроники и автомобилей, крупная нефтяная компания из Латинской Америки. От DoppelPaymer часто страдают и государственные организации по всему миру, включая образование и здравоохранение. Группировка также попадала в новости после публикации результатов выборов в Джорджии (США) и получения выкупа в $500 тысяч от округа Пенсильвания (США). Атаки DoppelPaymer продолжаются и сейчас — в феврале о взломе объявила одна из европейских научных организаций.

Методы направленных кибератак

Каждая атака на крупную компанию — результат долгой работы киберпреступников, которые ищут уязвимости в инфраструктуре, продумывают сценарий и подбирают инструменты. Затем происходит взлом и распространение вредоносного кода по инфраструктуре компании. Преступники могут несколько месяцев находиться внутри корпоративной сети, прежде чем зашифровать файлы и выдвинуть свои требования.

Основные средства, которые помогают проникнуть в инфраструктуру:

  • Плохо защищенные подключения удаленного доступа. Уязвимые RDP-соединения (от англ. Remote Desktop Protocol, протокол удаленных рабочих столов) настолько популярны в качестве средства доставки зловредов, что на черном рынке есть целые группировки, которые предлагают взлом через них как услугу. Когда весь мир перешел на удаленный режим работы, объем таких атак вырос скачкообразно. Так проводят кампании Ryuk, REvil и другие шифровальщики.
  • Уязвимости серверных приложений. Атаки на серверное ПО открывают преступникам доступ к самым чувствительным данным. Недавний пример такой атаки — мартовское нападение шифровальщика DearCry на клиентов почтовых серверов через уязвимость нулевого дня в Microsoft Exchange. Если в организации используется незащищенная версия серверного ПО, она может послужить точкой входа для таргетированной атаки. Проблемы безопасности обнаруживаются и в сервисах защиты соединения — в прошлом году мы уже видели примеры.
  • Доставка через ботнеты. Чтобы охватить еще больше жертв и увеличить прибыль, вымогатели прибегают к помощи ботнетов. Операторы зомби-сетей предоставляют другим преступникам доступ к тысячам взломанных устройств, которые автоматически ищут уязвимые системы и загружают в них программу-вымогатель. Так распространялись, например, шифровальщики Conti и DoppelPaymer.
  • Атаки на цепочки поставок (supply chain attack). Угрозу этого вектора лучше всего показывает кампания REvil: шифровальщик скомпрометировал MSP-провайдера, откуда переместился в сети его клиентов.
  • Опасные вложения. Документы Word c вредоносными макросами, которые рассылают по электронной почте, — по-прежнему актуальный метод доставки зловредов. Среди «героев» нашего хит-парада именно так завлекал жертв NetWalker — преступники использовали рассылки с темой COVID-19.

Как бизнесу защититься от шифровальщиков

  • Обучайте сотрудников приемам цифровой гигиены — они должны знать, что такое фишинг, почему нельзя переходить по ссылкам из подозрительных писем и скачивать файлы с сомнительных сайтов, как можно придумывать и запоминать сильные пароли и почему нельзя хранить их на стикере рядом с компьютером. Проводите регулярные тренинги по информационной безопасности — такие мероприятия помогают не только снизить риск инцидента, но и сократить ущерб, если злоумышленникам все же удастся проникнуть в сеть.
  • Вовремя устанавливайте обновления операционных систем и приложений. Это максимально обезопасит вас от атак через известные уязвимости программного обеспечения. Внимание следует уделять как клиентским программам, так и серверному ПО.
  • Делайте аудиты безопасности, проверяйте защищенность оборудования, следите за тем, какие порты открыты и доступны из Интернета. Для удаленной работы используйте защищенное соединение, но помните, что даже в нем могут появиться уязвимости.
  • Создавайте резервные копии корпоративных данных. Это не только позволит сократить время простоя и быстрее восстановить бизнес-процессы в случае атаки шифровальщика, но и поможет в случае банальной поломки оборудования.
  • Используйте профессиональное защитное решение c функцией поведенческого анализа и технологиями противодействия шифровальщикам.
  • В идеале ваша система информационной безопасности должна уметь распознавать аномалии в сетевой инфраструктуре — например, попытки прощупывать порты или запрос доступа к нетипичным системам. Если у вас нет штатных специалистов, способных контролировать происходящее в сети, то имеет смысл обратиться к сторонним.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.