Джек М. Жермен
21 мая 2021 года, 4:00 утра по тихоокеанскому времени
Эта старая пословица о преступности «никогда не платит» не может быть более лживым, по крайней мере, когда речь идет о современных киберпреступниках. Для тех злоумышленников, которые используют программы-вымогатели в качестве оружия, преступление платит больше, чем когда-либо.
По оценке компании Emisoft, занимающейся кибербезопасностью, реальная глобальная стоимость программ-вымогателей, включая прерывание бизнеса и выплаты выкупа в 2020 году, составила минимум 42 миллиарда долларов США, а максимум — почти 170 миллиардов долларов.
Опрос, проведенный Veritas Technologies, показал, что 66 процентов жертв признались в уплате части или всего выкупа, согласно отчету, опубликованному в среду фирмой eSentire по управляемому обнаружению и реагированию.
Отчет, составленный группой исследователей безопасности eSentire, которую она называет Threat Response Unit (TRU), обнаружил, что шесть банд вымогателей заявили о не менее 290 новых жертвах в этом году. Суммарная добыча потенциально составила 45 миллионов долларов для хакеров.
Исследователи компании eSentire объединились с исследователем даркнета Майком Мэйсом, чтобы отследить группы программ-вымогателей Ryuk / Conti, Sodin / REvil, CLOP и DoppelPaymer. Они также отслеживали двух появляющихся киберганг, известных как DarkSide и Avaddon.
Банда DarkSide должна позвонить в некоторые знакомые. Это организация, ответственная за атаку вымогателя Colonial Pipeline в начале этого месяца.
TRU и Хейс из Esentire обнаружили, что определенные группы собрали сотни жертв в 2020 году и коллективно скомпрометировали 292 новые организации жертв в период с 1 января по 30 апреля этого года. По оценкам исследователей, средняя сумма, выплачиваемая организациями, выкупающими выкуп, увеличилась со 115 123 долларов в 2019 году до 312 493 долларов в 2020 году, что на 171 процент больше по сравнению с аналогичным периодом прошлого года.
«Существует гораздо больше успешных атак с использованием программ-вымогателей, которые скомпрометировали компании, чем общественность может представить. На самом деле нет отрасли / бизнеса, которые не были бы потенциальной целью этих групп», — Марк Сангстер, вице-президент eSentire. — сообщил TechNewsWorld.
Содержание статьи
Бизнес хакеров процветает
Атаки программ-вымогателей — часты. Их выплаты часто не раскрываются жертвами из-за смущения или потери общественного доверия. Однако хакерские группы не стесняются сообщать о своих успешных эксплойтах в своих личных блогах / сайтах утечек.
В отчете eSentire отмечены три новых атаки за последние три месяца:
- Tata Steel — взломанная группой вымогателей Sodin / REvil в апреле. Tata Steel отказалась выплатить выкуп в размере 4 миллионов долларов.
- Школьный округ округа Бровард — скомпрометирован бандой Рюка / Конти в марте. Злоумышленники потребовали 40 миллионов долларов, и округ сказал, что они не будут платить.
- Quanta Computer — производитель MacBook следующего поколения от Apple, также атакованный Sodin / REvil. Сообщается, что в апреле хакеры потребовали 50 миллионов долларов, сначала от Quanta, который отказался от вымогательства, а затем от Apple.
Однако исследователи отметили, что, несмотря на все большее количество сообщений об атаках программ-вымогателей в СМИ, организации-жертвы, раскрываемые СМИ, представляют собой каплю в море по сравнению с реальными событиями.
В одном инциденте с программой-вымогателем, который произошел в прошлом месяце, но так и не стал достоянием общественности, была небольшая частная американская компания. По словам высокопоставленного сотрудника организации, попросившего не называть его имени, злоумышленники потребовали 12 миллионов долларов, которые компания заплатила.
Поскольку кибератаки развиваются с головокружительной скоростью, разведка киберугроз (CTI) стала важнейшим компонентом программ кибербезопасности. «Без разведки организации летят вслепую в очень грозовое небо», — сказал Дов Лернер, руководитель отдела исследований в области безопасности в Sixgill.
«На стратегическом уровне CTI позволит руководителям понять ландшафт угроз и оценить риски для своих организаций. На более тактическом уровне CTI используется для блокирования вредоносных индикаторов взлома и обнаружения скомпрометированных данных», — сказал Лернер TechNewsWorld. .
По мере того как все больше повседневных дел и деятельности переводятся в цифровую форму, у участников темной сети появляется больше возможностей потреблять и использовать конфиденциальные данные, размещенные на подпольных платформах, добавил он. Подполье киберпреступности только продолжает расти, а пандемия и экономический кризис могут побудить все больше субъектов угрозы искать незаконную финансовую деятельность, а в последнее время — радикальный политический дискурс.
Никаких сомнений в успехах
Сангстер сказал, что его исследователи полностью верят в то, что организации, которые, по утверждению этих групп, скомпрометировали, верны по нескольким причинам, в том числе:
- Каждая групп программ-вымогателей в подробностях отчета приводятся многочисленные примеры различных файлов и документов, которые, по их утверждениям, были украдены у компаний-жертв. К тому же все они выглядят аутентично.
- Исследователи видели, как группы угроз размещали жертву на своих сайтах утечки. Позже, возможно, через несколько недель, цель публично объявит о атаке программы-вымогателя.
- Этим группам вымогателей не выгодно лгать о жертвах, которых, как они утверждают, взломали. Если бы они действительно разместили жертв на своем сайте утечки информации, что они не скомпрометировали, тогда слухи распространятся очень быстро, и ни одна жертва не заплатит им.
«Наша группа по исследованию безопасности, TRU и исследователь темной сети Майк Мэйс вошли в темную сеть и потратили много времени на анализ блогов и сайтов утечки этих шести групп программ-вымогателей, а также проанализировали TTP этих — сказал Сангстер
.
Исследователи только что завершили все свои выводы и сейчас делятся деталями с различными правоохранительными органами, добавил он.
Расширенный список атак
Esentire и Mayes обнаружили, что шесть групп программ-вымогателей, которые они отслеживали для этого отчета, продолжают атаковать не только обычных подозреваемых — правительство штата и местные органы власти, школьные округа, юридические фирмы , больницы и медицинские организации. Они расширили свой список, включив производителей, транспортные / логистические компании и строительные фирмы в США, Канаде, Южной Америке, Франции и Великобритании
Вот краткое изложение новых жертв в результате расширенного списка атак:
Ryuk / Conti
Группа вымогателей Ryuk / Conti впервые появилась в августе 2018 года. быть организациями, базирующимися в США. Сюда входят технологические компании, поставщики медицинских услуг, образовательные учреждения, поставщики финансовых услуг, а также многочисленные государственные и местные правительственные организации.
В общей сложности банда поразила 352 организации, скомпрометировав 63 компании и организации частного сектора только в этом году. TRU обследовало 37 из 63 жертв Рюка, и среди них 16 были производителями, которые производили все, от медицинских устройств до промышленных печей и оборудования для электромагнитного излучения и программного обеспечения для школьной администрации.
Рюк, как сообщается, в 2021 году скомпрометировал транспортные / логистические компании, строительные компании и организации здравоохранения.
Sodin / REvil
Sodin / REvil перечислил 161 новую жертву в этом году, 52 из которых были производителями, а также несколькими организациями здравоохранения, транспортными / логистическими компаниями и строительными фирмами. В марте группа напала на производителя компьютеров и электроники Acer и потребовала выкуп в размере 50 миллионов долларов
Когда Quanta Computer, производящая ноутбуки для Apple, отказалась вести переговоры, как упоминалось выше, преступники Sodin, как сообщается, обратились к Apple за выкупом. Хакеры Sodin разместили в своем блоге «Счастливый блог» предупреждение о том, что, если им не заплатят, они опубликуют то, что, по их утверждениям, является техническими деталями для текущего и будущего оборудования Apple.
DoppelPaymer
Группа вымогателей DoppelPaymer появилась в 2019 году. Веб-сайт группы DoppelPaymer утверждает, что они скомпрометировали 186 жертв с момента своего дебюта, 59 из которых только в 2021 году. Среди жертв — многочисленные государственные и местные правительственные организации, а также несколько учебных заведений.
В декабре 2020 года ФБР выпустило предупреждение о том, что «с конца августа 2019 года неустановленные лица использовали программу-вымогатель DoppelPaymer для шифрования данных жертв в критически важных отраслях по всему миру, таких как здравоохранение, службы экстренной помощи и образование, прерывая доступ граждан к услугам. . »
О многих малых и средних предприятиях, которые группа объявляет жертвами, никогда не сообщалось в прессе, равно как и о многих организациях государственного сектора. Одним из исключений является прокуратура штата Иллинойс, которая впервые обнаружила атаку DoppelPaymer 10 апреля 2021 года.
Clop (Cl0p)
Программа-вымогатель Clop впервые появилась в феврале 2019 года и стала лучше известна в октябре 2020 года, когда ее операторы стали первой группой, потребовавшей выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая компания Software AG, отказалась платить.
В этом году Клоп попал в заголовки газет за то, что он отобрал украденные данные жертв, получил контактную информацию клиентов и партнеров компании и отправил им электронное письмо с призывом заставить компанию-жертву заплатить выкуп.
DarkSide
DarkSide — относительно новая группа программ-вымогателей. TRU Esentire начал отслеживать его в декабре прошлого года, примерно через месяц после того, как, как сообщается, он появился. Операторы заявляют в своем блоге / на сайте утечки, что всего заразили 59 организаций, взломав 37 из них в 2021 году.
Жертвы находятся в США, Южной Америке, на Ближнем Востоке и в Великобритании. Среди них производители всех видов продукции, такие как энергетические компании, компании по производству одежды, туристические компании.
Поздно вечером 13 мая сайт блога / утечки DarkSide отключился, и злоумышленники DarkSide заявили, что он потерял доступ к инфраструктуре, которую использует для работы, и будет закрыт. В уведомлении упоминались нарушения со стороны правоохранительных органов и давление со стороны США. До закрытия веб-сайта DarkSide операторы всегда заявляли, что они распространяли свое вредоносное ПО с помощью модели «вымогатель как услуга».
Операторы DarkSide утверждали, что они похожи на Робин Гуда, преследуя только прибыльные компании, которые могут позволить себе заплатить выкуп. Операторы группы также отметили, что они не будут атаковать больницы, учреждения паллиативной помощи, дома престарелых, похоронные бюро и компании, занимающиеся разработкой и распространением вакцины Covid-19, согласно отчету eSentire.
Avaddon
Операторы Avaddon, чьи требования к программам-вымогателям впервые появились в феврале 2019 г., утверждают, что за свою жизнь они заразили 88 жертв, 47 из них — в 2021 г. Девять атак программ-вымогателей последовали за вымогателями. — как сервисная модель.
Его операторы позволяют аффилированным лицам использовать программу-вымогатель, часть прибыли выплачивается разработчикам Avaddon. По сообщениям Esentire, злоумышленники Avaddon также предлагают своим жертвам круглосуточную поддержку и ресурсы по покупке биткойнов, тестированию файлов для расшифровки и другим проблемам, которые могут помешать жертвам уплатить выкуп.
Как избежать атак программ-вымогателей
По данным eSentire, группы программ-вымогателей сеют хаос против гораздо большего числа организаций, чем общественность осознает. Ни одна отрасль не застрахована от этого бедствия программ-вымогателей, которое происходит во всех регионах и секторах.
Esentire рекомендует следующие советы по защите от атак программ-вымогателей:
- Резервное копирование всех важных файлов и их хранение в автономном режиме
- Требовать многофакторной аутентификации для доступа к виртуальной частной сети (VPN) вашей организации или службы протокола удаленного рабочего стола (RDP)
- Разрешить только администраторам доступ к сетевым устройствам с помощью службы VPN
- Контроллеры домена являются ключевой целью для злоумышленников. Убедитесь, что ваша группа безопасности имеет видимость ваших ИТ-сетей с помощью агентов обнаружения и реагирования конечных точек (EDR) и централизованного ведения журналов на контроллерах домена (DC) и других серверах
- Используйте принцип минимальных привилегий с сотрудниками
- Отключите RDP, если он не используется
- Регулярно исправляйте системы, отдавая приоритет вашим ключевым ИТ-системам
- Реализуйте сегментацию сети
- Обязательное обучение пользователей для всех сотрудников компании
«С точки зрения индустрии кибербезопасности, компаниям доступны несколько очень эффективных служб, инструментов и политик безопасности, которые значительно помогают им защитить свои ценные данные и приложения от киберугроз, таких как программы-вымогатели, компрометация корпоративной электронной почты, кибершпионаж. , и уничтожение данных ", — сообщил Сангстер. 
