Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
Ведомости
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Премия Импульс
Спорт
Здоровье
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Техуспех
Ведомости Северо-Запад
Отрасли и рынки

Шифровальщики шифруют для души

Выкуп перестал был главной целью при атаках на бизнес
Олеся Ошанина
Максим Стулов и Евгений Разумный / Ведомости
Максим Стулов и Евгений Разумный / Ведомости

В 2023 г. эксперты по информбезопасности фиксировали значительный рост атак с использованием вирусов-шифровальщиков как в России, так и в мире. Хакеры стали действовать изощреннее, сами атаки усложнились, а фокус внимания сместился с денежного вознаграждения на хактивизм (кибератаки для продвижения политических идей). То есть в ряде случаев жертвы попросту лишаются шанса восстановить инфраструктуру, заплатив выкуп.

Шифровальщики подскочили

Одними из наиболее часто встречающихся в последнее время (21% среди общего числа инцидентов, расследованных с начала 2021 г. по III квартал 2023 г.) стали инциденты, связанные с полным шифрованием или удалением информации, следует из исследования Positive Technologies.

По данным компании, в Ш квартале 2023 г. доля использования шифровальщиков в атаках на организации с использованием вредоносного программного обеспечения составила 53%, что на 9 п. п. больше показателей предыдущего квартала, а число инцидентов выросло на 77% относительно начала 2022 г. Во II квартале количество атак шифровальщиков продолжило расти и увеличилось на 13%.

В Angara Security схожая статистика. Здесь отмечают, что в России по итогам трех кварталов 2023 г. число атак с использованием шифровальщиков выросло на 20% по сравнению с 2022 г. Сегодня шифровальщики продолжают активно атаковать бизнес по всему миру, в 2023 г. они стали в России одной из самых актуальных угроз, подтверждает главный эксперт «Лаборатории Касперского» Сергей Голованов.

Рост таких киберпреступлений обусловлен в первую очередь их простотой. Довольно много ресурсов в даркнете предлагают так называемые партнерские программы по предоставлению программ-вымогателей, также существуют ресурсы, на которых можно купить данные для входа в инфраструктуру целевой компании, поясняет руководитель отдела реагирования и цифровой криминалистики Angara Security Никита Леокумович.

Атаки с помощью вирусов-шифровальщиков используют злоумышленники разного уровня компетенции, соответственно, их жертвами могут стать любые компании и организации – от небольших до крупных, указывает руководитель департамента мониторинга и реагирования компании «Инфосистемы джет» Ринат Сагиров. По словам Леокумовича, в 2023 г. выросло количество подобных атак на компании малого и среднего бизнеса. Владелец продукта Servicepipe DosGate Даниил Бобрышев отметил, что в этом году наблюдались и сложные атаки – DDoS-атака в качестве отвлекающего маневра, а далее уже сама атака, в том числе направленная на проникновение в инфраструктуру компании. По словам Сагирова, в 2023 г. также наблюдался рост атак с использованием шифровальщиков через IТ-подрядчиков. Кроме того, IТ-компании и сами становились жертвами, указывает исследование Positive Technologies. На них пришлось 11% от общего числа атак, что на 5 п. п. выше показателя предыдущего квартала, отмечается в исследовании компании.

Новые имена

Менялись не только атаки, но и сами злоумышленники. В I квартале 2023 г. новую стратегию продемонстрировали вымогатели BlackCat и HardBit, следует из исследования Positive Technologies. Первые стали публиковать похищенные данные с адресами сайтов, похожими на домен скомпрометированной организации, для того чтобы факт утечки мог стать известен широкому кругу клиентов или партнеров компании.

HardBit старались убедить жертву раскрыть детали киберстрахования, чтобы понять, какие именно риски компания застраховала, и в случае успешной атаки жертва точно заплатит выкуп, возмещая потом сумму ущерба за счет страховых выплат. Вместе с тем продолжающийся тренд на разработку кросс-платформенных версий вредоносов (т. е. способных работать с разными операционными системами) подхватили уже известные Royal, IceFire и Cl0P и новые вымогатели из Nevada Ransomware, говорится в исследовании.

Зато среди активных групп шифровальщиков в это время обрели известность новые имена. Среди них наиболее заметной оказались 8Base – опытные злоумышленники, активно атакующие организации по всему миру: порядка 30 компаний ежемесячно. После долгого периода затишья и малой популярности группировка запустила свой сайт с информацией о жертвах и заняла 2-е место после LockBit в июне, следует из исследования Positive Technologies.

Обнаруженные в марте 2023 г. вымогатели Akira показали себя во II квартале, войдя в топ-10 наиболее активных группировок, но уже в конце июня компанией Avast был выпущен бесплатный дешифратор (ПО, способное расшифровать зашифрованные данные) для систем под управлением Windows. Однако Linux-системы, для которых дешифратор отсутствует, стали новыми мишенями для группировки Akira.

Эксперты компании обратили внимание на MalasLocker, атаки которой они фиксируют с апреля 2023 г., которая атакует серверы Zimbra (бесплатный почтовый сервер с открытым кодом, применяется более чем в 5000 компаниях и провайдерах). В качестве выкупа эта группировка требует сделать пожертвования в благотворительные организации. За весь II квартал MalasLocker стала второй группировкой по числу жертв. Наибольшее число атакованных компаний находится в Италии, США и России.

От выгоды к хактивизму

В 2022 г. Россия столкнулась с ростом количества политически мотивированных хакеров – хактивистов, чьей целью является дестабилизация обстановки в стране, указывает Леокумович, и их активность только нарастает. В январе – сентябре 2023 г. число «политических» инцидентов выросло на 120–130% по сравнению с тем же периодом 2022 г., финансово мотивированные атаки в динамике показывают прирост более чем на 70% по сравнению с прошлым годом, рассказывает Леокумович. В «Информзащите» подтвердили, что теперь не только финансовый интерес движет злоумышленниками.

При этом материальный интерес у хакеров не пропал. По словам Голованова, в первой половине прошлого года целью атак шифровальщиков в России стала в первую очередь остановка бизнес-процессов, стремление посеять панику, тогда как во второй половине года злоумышленники сменили тактику: они проникали в инфраструктуру, в некоторых случаях пытались украсть средства, подменяя информацию в платежных поручениях, выгружали конфиденциальные данные, а затем шифровали системы и требовали выкуп. Если жертва отказывалась сотрудничать, данные выставляли в открытый доступ. Сегодня эти методы остаются часто используемыми при атаках на бизнес, отмечает эксперт.

Говоря о способах атак, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев отмечает, что зачастую фишинг и социальная инженерия являются тем самым инструментом, который позволяет проникнуть в инфраструктуру компании. Кроме того, инсайдерские атаки, когда доступы продают сотрудники компании или ее контрагентов, – еще один способ проникнуть в инфраструктуру. Увеличивается также количество «слитых» баз, где могут быть хеши паролей (хеш – это набор случайных символов, который генерируется на основе текстового пароля с помощью специального алгоритма хеширования. Хеширование пароля позволяет защитить пароль от чтения злоумышленниками, так как обратить хеш обратно в исходный пароль невозможно. – Ред.), которые попадают в открытый доступ, указывает он.

Вместе с тем, по данным Positive Technologies, доля фишинговых писем (отправленных якобы от имени реальной организации или компании, содержащих замаскированную под документ таблицу или картинку, вредоносную программу, ссылку на созданный преступниками сайт) для сотрудников составила лишь 17%, чаще злоумышленники эксплуатируют уязвимости веб-приложения. «Это гораздо более эффективно, чем фишинговые рассылки, которые могут и не сработать», – указал руководитель отдела реагирования на угрозы ИБ PT Expert Security Center Денис Гойденко.

Нередко встречаются атаки и со стороны «пионерии», т. е. начинающих хакеров. «Порой мы видим инциденты, где все этапы атаки отрабатываются одним скриптом (скрипт – набор команд, т. е. строк кода, которые вкупе выполняют конкретную задачу. – Ред.), иногда при расследовании кажется, что какой-то начинающий взломщик сдает «лабораторную работу», его выдают неправильно введенные команды, хаос в действиях, излишняя активность», – рассказывает Леокумович. При таргетированных атаках на крупных игроков (или при крупных заказчиках атаки) иная ситуация: вредоносное программное обеспечение часто специально пишется под атаку на конкретную организацию, поясняет он.

Платить или не платить?

Как бы ни действовали злоумышленники, если им удалось внедрить шифровальщик, то итог всегда один: информационная инфраструктура и резервные копии оказываются зашифрованы, теневые копии (технология позволяет копировать файлы, с которыми в данный момент времени ведется работа, а также системные и заблокированные файлы. – Ред.) удалены, а на рабочем столе или в почте появляется ransom note – записка о выкупе. В записке обычно указывается биткойн-кошелек и сумма, которую нужно перевести для получения ключа расшифровки. В результате работы шифровальщика рабочие станции, управляющие бизнес-процессами, могут быть зашифрованы и непригодны к работе, могут быть уничтожены базы данных и даже IT-инфраструктура, рассказывают эксперты. Если атака совершена на промышленный объект, то возникают проблемы, связанные с простоем производства.

На фоне прямых экономических потерь, которые исчисляются десятками и сотнями миллионов рублей, важное значение приобретают риски для цепей поставок жизненно важных ресурсов для экономики и устойчивости социального сектора, ведь под угрозой могут оказаться цепи поставок электроэнергии, продовольствия, лекарственных препаратов, экологическая безопасность предприятий, говорит Леокумович.

Гойденко отмечает, что расшифровать данные самостоятельно в короткие сроки в подавляющем большинстве случаев оказывается невозможным. То есть перед жертвой атаки встает вопрос: платить или не платить? Но, принимая любое из решений, необходимо быть готовым к любому сценарию, так как никто не может ручаться за действия хакеров, отмечает эксперт.

Матвеев уверен, что решение о необходимости платить выкуп должно напрямую зависеть от того, что зашифровано, насколько пострадала инфраструктура, какой риск может быть для компании глобально. То есть, по сути, предлагает соотнести потенциальные потери зашифрованной информации с суммой выкупа. Леокумович уверен – платить точно не стоит: не факт, что компании вышлют валидный ключ, который верно расшифрует данные. «Восстановить данные в 99% случаев невозможно – современные шифровальщики обычно используют сложные алгоритмы шифрования», – поясняет он.

Матвеев отмечает также, что порой ключа на дешифровку у злоумышленника нет и выкуп не гарантирует возврат данных. В Positive Technologies тем не менее отметили, что в большинстве случаев, когда выкуп был запрошен и заплачен, дешифратор компании передавали и информацию удавалось восстановить. «Был даже кейс, когда злоумышленники запросили относительно небольшой выкуп в 150 000 руб, а после его получения не просто предоставили дешифратор, но и дали полный отчет, как им удалось проникнуть в инфраструктуру», – рассказал Гойденко.

В то же время все эксперты сошлись во мнении, что именно выплата стимулирует злоумышленников на совершение все новых атак. По словам Голованова, таким образом компания спонсирует дальнейшую деятельность киберпреступников и злоумышленники, уже проникнув в инфраструктуру компании, продолжат шантажировать ее другими способами, например угрожая выложить в открытый доступ конфиденциальные данные. Поэтому в идеале надо не выбирать, платить или не платить, а стремиться максимально повысить защищенность организации, чтобы избежать подобных ситуаций.