В России за год на 75% выросло число кибератак программ-вымогателей

Количество кибератак на российские компании с использованием программ-вымогателей за первые девять месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом прошлого года, сообщает пресс-служба компании F.A.С.С.T. 20 октября на официальном интернет-портале.

Лаборатория цифровой криминалистики компании F.A.С.С.T. провела исследование высокотехнологичных преступлений 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Выяснилось, что количество атак программ-вымогателей за девять месяцев выросло на 75% по сравнению с аналогичным периодом 2022 года.

Как указывают исследователи, еще стремительнее выросло количество политически мотивированных кибератак, совершаемых с целью похитить конфиденциальные данные или полностью разрушить IT-инфраструктуру. Рост таких преступлений по отношению к 2022 году составил 140%.

Самым популярным типом киберугроз, с которыми столкнулись во время реагирований на инциденты криминалисты, стали атаки с использованием программ-вымогателей. Жертвами чаще всего становились российские ритейлеры, а также производственные, строительные, туристические и страховые компании.

Среднее время, в течение которого атакованная компания была вынуждена простаивать, составило 14–18 дней. Наиболее агрессивными хакерскими группами в России в 2023 году стали Shadow и Twelve. На радарах у исследователей они возникали лишь в начале года, но провели серьезные атаки.

Вымогатели из Shadow похищают и шифруют данные, в дальнейшем требуя от компании-жертвы крупный выкуп за расшифровку и не публикацию похищенной конфиденциальной информации. Размер выкупа обычно составлял 5–10% от годового дохода жертвы.

Хакеры из Twelve сначала похищают конфиденциальные данные жертвы, а на конечном этапе атаки уничтожают ИТ-инфраструктуру, стирая и шифруя данные без возможности их восстановления. Именно Twelve весной 2023 года взяла на себя ответственность за атаку на федеральную таможенную службу РФ. В мае она же атаковала российского производителя гидравлического оборудования.

После того, как эксперты компании F.A.C.C.T. опубликовали свой вывод, что Shadow и Twelve являются одной преступной группой с общими техниками, а в нескольких атаках — с общей сетевой инфраструктурой, вымогатели из Shadow провели ребрендинг. Они стали использовать в своих атаках название Comet (C0met).

Пресс-служба F.A.С.С.T. сообщает, что в России в целом средняя сумма первоначального выкупа, которую требуют вымогатели у жертвы, в 2023 году составила 37 млн руб. Рекордную сумму установили хакеры из группы Shadow, потребовавшие за расшифровку данных 200 млн руб. Это в пять раз меньше, чем требовали ранее в 2022 году вымогатели OldGremlin у одной из компаний (1 млрд руб.).

Чаще всего преступники использовали для атак на российские компании шифровальщики LockBit, Conti и Babuk. Исследователи указывают, что причиной стало появление в публичном пространстве исходных кодов этих шифровальщиков.

Самой распространенной техникой, используемой для получения первоначального доступа в корпоративные сети в 2023 году, стала компрометация служб удаленного доступа, особенно RDP и VPN. Отмечается также рост атак с доступом в инфраструктуру в результате компрометации IT-партнеров, которые предоставляли организациям-жертвам услуги. В 2022 году основными направлениями атак для большинства вымогателей являлись уязвимости публично доступных приложений и фишинг.

Исследование также показало, что целями политически мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором или оборонной промышленностью. В группе риска оказались не только гиганты, но и IT-компании из сегмента малого и среднего бизнеса: жертвами становились интернет-ритейлеры, интеграторы и разработчики ПО, атаки на которых позволяют хакерам получить доступ не только к клиентским базам данных, но к инфраструктуре заказчиков — более крупных игроков рынка.

Пресс-служба напоминает, что за первую половину 2023 г. эксперты компании F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и государственных организаций, а число утекших строк пользовательских данных выросло более чем в 11 раз по сравнению с предыдущим периодом 2022 года и достигло 62,1 млн. Большинство похищенных баз данных хакеры выкладывали в публичный доступ бесплатно, а часть утечек продавали или использовали в последующих атаках.

Руководитель Лаборатории цифровой криминалистики компании F.A.C.C.T. Антон Величко подчеркнул, что программы вымогателей уже четвертый год подряд остаются одной из главных киберугроз, с которой сталкиваются российские компании. Он отметил, что начиная с 2022 года у киберпреступников заметно изменился мотив, они стали не столько заработать, сколько пытаться нанести наибольший ущерб компаниям и их клиентам.

«В текущем году рост подобных атак был особенно заметным. Утекшие данные атакующие сразу не публикуют, а используют для проведения каскадных атак на крупных игроков как коммерческого, так и государственного секторов», — рассказал Величко.