Шифровальщики всех стран объединяются

По данным исследования, число атак во II квартале выросло на 9% по сравнению с I кварталом и на 59% по сравнению с аналогичным периодом 2019 г. По мнению экспертов, громкие мировые события неминуемо сопровождаются ростом числа кибератак, поскольку создают благоприятную почву для применения злоумышленниками методов социальной инженерии. Апрель и май 2020 г. стали рекордными по числу успешных кибератак. Эксперты связывают это со сложной эпидемиологической и экономической ситуацией в мире, которая пришлась на эти месяцы. Так, во II квартале 2020 г. с темой COVID-19 было связано 16% атак с использованием методов социальной инженерии (против 13% в I квартале). Более трети (36%) из них не были привязаны к конкретной отрасли, 32% атак направлены против частных лиц, 13% - против госучреждений.

Как показал анализ, существенно выросла доля атак, направленных на промышленность. Во II квартале среди атак на юридические лица она составила 15% против 10% в I квартале. Наибольший интерес к промышленности проявляют операторы шифровальщиков и кибершпионские APT-группы. В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. Около половины (46%) атак с использованием ВПО пришлись на шифровальщики, еще 41% атак с использованием вредоносного ПО - это атаки шпионских троянов. Во II квартале стало известно о первых жертвах шифровальщика Snake - автомобильном производителе Honda и гиганте ТЭК, компании Enel Group. Кроме Snake, промышленность атаковали операторы шифровальщиков Maze, Sodinokibi, NetWalker, Nefilim, DoppelPaymer. При этом начальным вектором проникновения в атаках на промышленность чаще всего были фишинговые письма (83% от общего числа атак) и уязвимости на сетевом периметре (14%). По данным экспертов, наибольшую активность в атаках с использованием шифровальщиков во II квартале 2020 г. проявили операторы Maze и Sodinokibi.

По словам экспертов, несмотря на необходимость делиться прибылью с подельниками, владельцы шифровальщиков остаются в плюсе. Во II квартале 2020 г. они "заработали" миллионы долларов, как в случае с атакой шифровальщика NetWalker на медицинский исследовательский университет в Калифорнии, руководство которого решило заплатить выкуп в размере $1,4 млн. А после отказа американской юридической компании платить выкуп в $21 млн операторы шифровальщика Sodinokibi, удвоив сумму выкупа всей базы, начали выставлять на продажу похищенные досье известных людей поштучно, в том числе данные президента США Дональда Трампа и певицы Мадонны (стоимость - от $1 млн).

Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева рассказывает, что сотрудничество между разными преступными группировками - это, действительно, тенденция. И в ней участвуют не только операторы шифровальщиков. По словам Екатерины Килюшевой, у каждой преступной группировки есть своя "специализация", и, объединяясь с другими группами, хакеры повышают свою эффективность. "Например, недавно мы писали, что в даркнете растет рынок доступов, когда одни хакеры продают другим доступы в корпоративные сети. Таким образом, операторы шифровальщиков могут скупать доступы у одних преступников и нанимать других уже для размещения ВПО в локальной сети за процент от выкупа", - говорит Екатерина Килюшева.

"Такая же ситуация и с объединениями шифровальщиков. Формируя общий "маркетплейс", на котором размещается информация о жертвах, хакеры собирают в одном месте большой объем данных, который привлекает потенциальных покупателей. Это полностью решает вопрос с организацией канала продаж, и хакеры могут сконцентрироваться непосредственно на атаках. Кроме того, другие преступники могут видеть, какие компании были скомпрометированы, и при необходимости связаться с продавцом для покупки доступа к сети или другой информации о компании", - сообщает Екатерина Килюшева.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев рассказывает, что, действительно, в последние месяцы происходит более тесная кооперация распространителей вирусов-шифровальщиков, объединение ряда молодых киберпреступников вокруг опытных хакеров из Maze. Андрей Арсентьев объясняет, что такая тенденция может быть связана со стремлением операторов вирусов-шифровальщиков как можно быстрее адаптироваться к системам защиты и эффективнее оттачивать решения на основе новых технологий.

"Сотрудничество позволяет группировкам обмениваться опытом и тщательнее планировать атаки вымогателей. Кроме того, для новичков важно, что Maze обладает уже достаточно раскрученной площадкой по размещению украденных данных. Среди очевидных тенденций 2020 г. также можно назвать распространение вирусов-шифровальщиков в качестве сервиса - Ransomware as a Service, RaaS. То есть начинающие хакеры по подписке могут воспользоваться ПО, созданным более квалифицированными "коллегами". Это ведет к более интенсивному распространению шифровальщиков, а значит, несет постоянные угрозы для компаний во всем мире", - подчеркивает Андрей Арсентьев.

Существование тенденции к сотрудничеству между разными преступными группировками подтверждает и ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин. Он отмечает, что, более того, так как многие вымогатели распространяются по так называемым партнерским программам (Ransomware-as-a-Service), приверженцы одной программы могут впоследствии становиться партнерами другой, что может сказываться на тактиках, техниках и процедурах, используемых в атаках.

"Объединение уже становится тенденцией: так, недавно к созданному Maze картелю, в который входят некоторые партнеры LockBit и Ragnar Locker, присоединились операторы вымогателя SunCrypt, которые объяснили такой альянс тем, что Maze просто не справляется с объемом работы, что говорит о том, что атак вымогателей станет только больше", - подтвердил Олег Скулкин.