МОСКВА, 25 ноя — ПРАЙМ. Суммарный ущерб программ-вымогателей за второе полугодие 2019 — первое полугодие 2020 года достиг более 1 миллиарда долларов, говорится в отчете Hi Tech Crime Trends 2020 международной компании Group-IB.
Программа-вымогатель может выглядеть как обновление известного приложения или прийти через зараженные фишинговые письма с тематикой, которая представляет потенциальный интерес для получателя. Попав на устройство, программа зашифровывает все файлы и базы данных. Затем злоумышленники требуют у компании выкуп в обмен на ключи дешифрования или угрожают разместить конфиденциальную информацию на публично доступных ресурсах.
"Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов (1 005 186 000 долларов). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы", — говорится в документе.
Эксперты отмечают, что большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. Такая атака может привести не только к простою, но и к полной остановке деятельности организации.
"Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв)", — пишут они.
Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. На втором месте находятся программы Ryuk, NetWalker, DoppelPaymer. Программа попадает в сеть организации через вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также новые типы бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.
"С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные", — говорится в документе.
Кроме того, в Group-IB сообщили, что продажи доступов в скомпрометированные сети компаний в даркнете выросли за минувший год в 4 раза, до 6 189 388 долларов.
"Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят "в привате". Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (второе полугодие 2019 — первое полугодие 2020 года) в 6 189 388 долларов, что в четыре раза больше прошлого периода, когда он составлял 1 609 930 долларов", — говорится в документе.
Наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019 году было производство (10,5%). В 2020 году появился спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и IT-компании (9%).
