Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

Компания Group-IB, один из лидеров в сфере кибербезопасности, составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021». Всего в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.

Есть вымогатели в своем Отечестве

В марте этого года в отчете «Программы-вымогатели 2020-2021» эксперты Group-IB прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos в общей сложности на них приходится более 300 атак.

Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире «ставки» значительно выше вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.

В России есть своя специфика: отсутствие информации об успешных кибератаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах. Да и сами пострадавшие всеми силами стараются избежать огласки.

Точки входа: как вымогатели атакуют сети

Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В текущем году на них пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.

На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов этот тренд в 2021 году добрался и до России. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.

Любопытно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа RMS или TeamViewer, а вместо шифровальщика криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей.

Пример фишинговой рассылки группы Rat Forest,
которая была заблокирована Group-IB Threat Hunting Framework Polygon

Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.

Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей «не работают по РУ», русскоговорящие группы и их партнеры в 2020-2021 гг активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию.

Олег Скулкин
Олег Скулкин

Руководитель Лаборатории компьютерной криминалистики Group-IB

В новом отчете «Как операторы программ-вымогателей атаковали российский бизнес в 2021» специалисты Лаборатории компьютерной криминалистики Group-IB разобрали основные методы получения первоначального доступа, а также тактики, техники и процедуры, используемые злоумышленниками для достижения их целей. Указанные техники доступны в сформированной матрице MITRE ATT&CK®.

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира Group-IB расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в 2022 году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.