24 ноября 2021

Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

Компания Group-IB, один из лидеров в сфере кибербезопасности, составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021». Всего в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.

Есть вымогатели в своем Отечестве

В марте этого года в отчете «Программы-вымогатели 2020-2021» эксперты Group-IB прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак.

Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире «ставки» значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.

В России есть своя специфика: отсутствие информации об успешных кибератаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах. Да и сами пострадавшие всеми силами стараются избежать огласки.

Точки входа: как вымогатели атакуют сети

Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В текущем году на них пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.

На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов — этот тренд в 2021 году добрался и до России. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.

Любопытно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа — RMS или TeamViewer, а вместо шифровальщика — криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей.

Пример фишинговой рассылки группы Rat Forest,
которая была заблокирована Group-IB Threat Hunting Framework Polygon

Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков — BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.

Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей «не работают по РУ», русскоговорящие группы и их партнеры в 2020-2021 гг активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким — его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию.

Олег Скулкин

Олег Скулкин

Руководитель Лаборатории компьютерной криминалистики Group-IB

В новом отчете «Как операторы программ-вымогателей атаковали российский бизнес в 2021» специалисты Лаборатории компьютерной криминалистики Group-IB разобрали основные методы получения первоначального доступа, а также тактики, техники и процедуры, используемые злоумышленниками для достижения их целей. Указанные техники доступны в сформированной матрице MITRE ATT&CK®.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте