Поделиться
День борьбы с шифровальщиками: «Лаборатория Касперского» представила отчёт о кибератаках с использованием программ-вымогателей
Эксперты «Лаборатории Касперского» проанализировали атаки шифровальщиков по всему миру. Согласно данным Kaspersky Security Network, в 2024 г. самая высокая доля таких инцидентов была зафиксирована на Ближнем Востоке. Наиболее низкие показатели наблюдаются в Европе. По всему миру доля пользователей, столкнувшихся с атаками шифровальщиков, с 2023 г. по 2024 г. выросла на 0,02 п.п., до 0,44%. Эксперты отмечают, что в процентном выражении количество инцидентов держится на относительно невысоком уровне, поскольку злоумышленники зачастую не распространяют такие вредоносы массово, а атакуют только выгодные им мишени.
День борьбы с шифровальщиками был объявлен 12 мая 2020 г. по инициативе Интерпола и «Лаборатории Касперского». Его цель — повышать осведомлённость об угрозах, которые несут программы-вымогатели, а также продвигать лучшие практики, помогающие предотвращать подобные атаки и реагировать на них. Дата выбрана неслучайно: 12 мая 2017 г. достигла своего пика самая масштабная «эпидемия» шифровальщика в истории — WannaCry.
Ближний Восток и Азиатско-Тихоокеанский регион. Высокая доля инцидентов в этих регионах связана с быстрой цифровой трансформацией и разным уровнем зрелости стран в области кибербезопасности. Крупные предприятия в Азиатско-Тихоокеанском регионе часто подвергаются целевым атакам, которые в основном направлены на бизнес, в том числе промышленный сектор. Главным образом это касается стран с растущей экономикой и государств, где законодательство в области информационной безопасности только начинает развиваться.
Африка. Шифровальщики меньше атакуют пользователей в Африке из-за низкого уровня цифровизации и особенностей местной экономики — благодаря этим факторам количество потенциально интересных целей для злоумышленников остаётся на невысоком уровне. Однако в некоторых странах, таких как ЮАР и Нигерия, число атак с использованием программ-вымогателей растёт. Особенно это заметно в производственном, финансовом и государственном секторах. При этом не все организации достаточно осведомлены о киберугрозах и обладают необходимыми ресурсами для защиты.
Латинская Америка. В этом регионе чаще всего с шифровальщиками сталкиваются Бразилия, Аргентина, Чили и Мексика. Атакам подвергаются производственный и госсектор, предприятия аграрно-промышленного комплекса, а также энергетика и ритейл. При этом местные организации представляют меньший интерес для злоумышленников из-за локальных экономических условий — суммы потенциального выкупа могут быть не очень большими. Тем не менее вероятность кибератак с использованием программ-вымогателей увеличивается, поскольку компании активно внедряют цифровые технологии.
Россия и СНГ. В регионе активно действуют хактивистские группы, такие как Head Mare и Twelve. Для атак на организации они в том числе используют программы-вымогатели, например, LockBit 3.0. Приоритетные цели злоумышленников — сфера производства, госсектор и ритейл.
Европа. Европейские страны тоже сталкиваются с угрозой программ-вымогателей, при этом часто целью кибератак становятся производственные предприятия, госучреждения и организации из сферы образования. Зрелое законодательство в области ИБ, грамотное реагирование на инциденты, осведомлённость о киберугрозах, использование надёжных систем защиты и диверсификация экономики — всё это помогает противостоять шифровальщикам в регионе.
Ключевые тенденции атак с использованием программ-вымогателей
Злоумышленники всё чаще применяют искусственный интеллект для разработки шифровальщиков. Это подтверждает пример группы FunkSec, которая появилась в конце 2024 г. и быстро получила известность. FunkSec работает по модели «шифровальщик как услуга» (Ransomware-as-a-Service, RaaS) и использует тактику двойного вымогательства: в этом случае шифрование данных сочетается с их кражей. Среди целей группы — организации из госсектора, а также сфер ИТ, финансов и образования в Европе и Азии. FunkSec известна тем, что активно применяет инструменты на основе ИИ. В частности, в коде шифровальщика, разработанного группой, содержатся комментарии, вероятно, сгенерированные с помощью больших языковых моделей (LLM). Таким образом злоумышленники стремятся улучшить процесс разработки и избежать обнаружения. В отличие от групп, традиционно требующих миллионные выкупы, FunkSec использует массовый подход и вымогает у жертв небольшие суммы.
Доходы от программ-вымогателей падают, хотя средняя сумма выкупа за восстановление доступа к данным растёт. По данным аналитической компании Chainalysis, в 2024 г. злоумышленники с помощью шифровальщиков заработали меньше денег: они получили всего около $813 млн по сравнению с рекордом в $1,25 млрд в 2023 г. При этом средняя сумма выкупа увеличилась в полтора раза — до $4 млн, сообщается в отчёте разработчика Sophos. Эта динамика подтверждает, что атакующие выбирают более крупные предприятия. В Sophos также отмечают, что в 2024 г. выросло число организаций, которые заплатили выкуп. Хотя другие аналитические компании пришли к противоположному выводу: пострадавшие стали менее охотно реагировать на требования злоумышленников. Например, по данным Coveware, в последнем квартале 2024 г. доля атакованных компаний, которые решили заплатить выкуп за восстановление данных, сократилась и достигла рекордно низких 25%. Годом ранее показатель составил 29%. Эта динамика объясняется более активными действиями правоохранительных органов, повышением уровня кибербезопасности и регулированию, которое препятствует выплатам в пользу злоумышленников.
По-прежнему преобладает модель RaaS. Она помогает атакующим преодолеть технические барьеры и способствует распространению шифровальщиков. В 2024 г. такие группы как RansomHub успешно предлагали вредоносное ПО, техподдержку и партнёрские программы с возможностью разделить выкуп. Модель RaaS позволяет злоумышленникам, не обладающим серьёзными техническими навыками, проводить сложные атаки. Это в том числе привело к появлению множества новых групп в 2024 г.
Программы-вымогатели будут развиваться за счёт эксплуатации нестандартных уязвимостей. Наглядный пример — группа Akira, которая провела атаку с помощью шифровальщиков через веб-камеру. Это устройство использовалось, чтобы обойти системы обнаружения и проникнуть во внутренние сети. Злоумышленники, вероятно, чаще будут целиться в точки входа, которым не всегда уделяется достаточно внимания с точки зрения кибербезопасности. К ним можно отнести IoT-устройства, умные гаджеты или неправильно настроенное оборудование на рабочем месте. По мере того, как организации будут внедрять новые средства защиты, группы станут менять свои тактики. Особое внимание будет уделяться скрытой разведке и горизонтальному перемещению внутри сети, что позволит атакующим более точно развёртывать программы-шифровальщики. Это затруднит обнаружение зловредов и своевременное реагирование на угрозы.
«Программы-шифровальщики входят в число самых серьёзных киберугроз для организаций. С помощью вымогателей злоумышленники атакуют компании разных размеров по всему миру. Одна из наиболее тревожных тенденций, о которых говорится в отчёте, — использование нестандартных точек входа. Зачастую их защите не уделяется достаточно внимания, что привлекает внимание злоумышленников. Чтобы обеспечить безопасность, организациям необходим эшелонированный подход: использование современных защитных систем, сегментация сети, мониторинг в режиме реального времени, резервное копирование данных, а также постоянное обучение сотрудников основам кибербезопасности. Повышать осведомлённость о киберугрозах так же важно, как и инвестировать в защитные технологии», — сказал Дмитрий Галов, руководитель Kaspersky GReAT в России.
Чтобы противостоять шифровальщикам, «Лаборатория Касперского» также рекомендует организациям: регулярно обновлять ПО на всех устройствах, чтобы избежать использование уязвимостей злоумышленниками для проникновения во внутреннюю сеть; в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети; создавать резервные копии данных оффлайн, в которые атакующие не смогут внести изменения. Важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента; предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов; использовать комплексную защиту компаний от широкого спектра киберугроз, например, Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса; проводить тренинги по кибербезопасности для сотрудников. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform.
Короткая ссылка
