Компания Group-IB составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес, пишет Хакер.
Всего в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.
Еще в марте текущего года эксперты прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%. Наиболее активными стали операторы вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак.
Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.
Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей.
Рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире «ставки» значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в размере 240 млн долларов.
Однако исследователи отмечают, что в России есть своя специфика: отсутствие информации об успешных атаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные сайты для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах. Да и сами пострадавшие всеми силами стараются избежать огласки.
Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу RDP. В текущем году на них пришлось до 60% всех кибератак. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.
На фишинговые рассылки, где первичным вектором атаки стала электронная почта, проходится 22% инцидентов — этот тренд в 2021 году добрался и до России. К примеру, экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.
Интересно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа — RMS или TeamViewer, а вместо шифровальщика — криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей.
Уязвимости в публично доступных приложениях также стали причиной многих успешных атак шифровальщиков в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков — BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.
«Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей “не работают по РУ”, русскоговорящие группы и их партнеры в 2020-2021 годах активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким — его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию», — говорит Олег Скулкин, руководитель Лаборатории компьютерной криминалистики Group-IB.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
