Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

Отечественные зловреды 

В марте этого года в отчете «Программы-вымогатели 2020-2021» эксперты Group-IB прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак. 

Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть. 

Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире «ставки» значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн. 

В России есть своя специфика: отсутствие информации об успешных кибератаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные веб-сайты (так называемые Data Leak Site (DLS)) для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах. Да и сами пострадавшие всеми силами стараются избежать огласки.  

Точки входа: как вымогатели атакуют сети 

Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В текущем году на них пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock. 

На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов — этот тренд в 2021 году добрался и до России. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки. 

Любопытно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа — RMS или TeamViewer, а вместо шифровальщика — криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей. 

Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков – BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей. 

«Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей “не работают по РУ”, русскоговорящие группы и их партнеры в 2020-2021 гг активно атаковали российский бизнес, — отмечает Олег Скулкин, руководитель Лаборатории компьютерной криминалистики Group-IB. — К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким — его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию».