Анализ, проведенный глобальной компанией Group-IB, занимающейся кибербезопасностью, показывает, что количество атак программ-вымогателей в прошлом году увеличилось более чем вдвое, а их масштабы и изощренность увеличились.
Крупные выплаты, которые в среднем составляли от 1 до 2 миллионов долларов для некоторых банд вымогателей, привлекли новых участников, которые сосредоточились на крупных компаниях, в основном в Северной Америке и Европе.
Получив данные из более чем 500 атак, проанализированных в ходе работ по реагированию на инциденты, Group-IB смогла предоставить обзор развития бизнеса программ-вымогателей в 2020 году, а также тактик, методов и процедур (ДТС), используемых в событиях, ведущих к шифрованию жертвы. системы.
Сцена с программами-вымогателями стала больше и динамичнее, операции некоторых известных игроков были затронуты или прекращены либо из-за усилий правоохранительных органов [ 1 , 2 ], либо из-за их выхода на пенсию [ 1 , 2 , 3 ]. Все больше и больше участников имеют сайты утечек, на которых публикуют украденные данные жертв, не уплативших выкуп.
Другие начали новые операции, которые следовали успешной модели «программа-вымогатель как услуга», так называемые партнерские программы, или выполняли каждый шаг - от поиска и компрометации жертв до развертывания вредоносного ПО для шифрования файлов в сети и переговоров о выкупе.
Среди новых участников, которые присоединились к крупной игре с программами-вымогателями в 2020 году, являются Conti, Egregor и DarkSide. По данным Group-IB, первые две стали настолько успешными, что вошли в пятерку крупнейших банд с наибольшим количеством атак.
Ryuk отсутствует выше рейтинг , потому что его атаки были объединены с его преемником, Конти , Group-IB сказал BleepingComputer.
Важно отметить, что все вышеперечисленные группы следуют бизнес-модели, в которой все участники сосредотачиваются на том, что у них получается лучше всего: разработка вредоносного ПО, начальный доступ, горизонтальное перемещение. Прибыль распределяется между операторами программы RaaS и аффилированными лицами.
«Команда Group-IB DFIR отметила, что 64% всех проанализированных ею атак с использованием программ-вымогателей в 2020 году исходили от операторов, использующих модель RaaS. Преобладание партнерских программ в подполье было основной тенденцией 2020 года ».
По данным Group-IB, такой подход привел к увеличению количества атак на 150% в прошлом году и двукратному увеличению среднего выкупа - до 170 000 долларов. Эти цифры аналогичны статистическим данным компании Coveware, занимающейся защитой от программ-вымогателей, которая за 4 квартал 2020 года отметила в среднем 154 108 долларов США .
Однако самые жадные актеры - Maze, DoppelPaymer, ProLock и RagnarLocker - требовали гораздо более высоких выкупов, которые в среднем составляли от 1 до 2 миллионов долларов. Среди самых высоких выплат - поразительные цифры, достигающие 34 миллионов долларов .
Group-IB сообщает, что с точки зрения воздействия на жертв атаки программ-вымогателей вызвали в среднем 18 дней простоя в прошлом году.
Для первоначального доступа к целевой сети злоумышленники обычно использовали бот-сети, такие как Trickbot, Qakbot, Bazar, Buer или IcedID, с которыми они сотрудничали специально для этой цели.
Как правило, перед развертыванием процесса шифрования акторы провели 13 дней внутри скомпрометированной сети. В течение этого периода они будут перемещаться по сети и увеличивать свой контроль, выявлять и удалять резервные копии для усиления воздействия.
Основным вектором компрометации были внешние удаленные службы - в основном RDP, за которым следовали фишинг и использование общедоступных приложений (Citrix, WebLogic, VPN-серверы, Microsoft Exchange).
источник: Group-IB
Чтобы помочь защитникам оставаться в курсе того, как действуют банды вымогателей, Group-IB сопоставила наиболее распространенные TTP, наблюдаемые во время их действий по реагированию на инциденты в 2020 году, в соответствии с базой знаний MITER ATT & CK о тактике противника.
Group-IB описывает нижеприведенные техники и тактики в опубликованном сегодня отчете , сгруппированном по частоте их встреч. Компания предоставляет рекомендации по снижению риска для каждого метода атаки.
источник: Group-IB
Основываясь на своих выводах, исследователи предсказывают, что угроза вымогателей будет продолжать расти, и субъекты будут адаптироваться, чтобы сделать ее еще более прибыльной за счет более частого использования вариантов Linux и развития или изменения своих методов (например, сосредоточения внимания на краже данных для вымогательства и отказе от шифрования) .
Кроме того, компрометация корпоративных сетей для перепродажи партнерам по программам-вымогателям станет более оживленным рынком, поскольку все больше участников захотят присоединиться к игре с большими деньгами.
Group-IB также заявляет, что больше поддерживаемых государством злоумышленников будут участвовать либо в финансовых целях, либо в подрывных целях.
Олег Скулкин, старший аналитик по цифровой криминалистике в Group-IB, говорит, что программы-вымогатели превратились в «организованную многомиллиардную индустрию с конкуренцией внутри, лидерами рынка, стратегическими альянсами и различными бизнес-моделями».
Перевод - Google
Bleeping Computer