Активные действия полиции вынудили вымогателей действовать более осторожно

Многочисленные операции правоохранительных органов, приведшие к арестам и нейтрализации вымогателей в 2021 году, вынудили злоумышленников сузить сферу своей деятельности и повысить эффективность своих вредоносных кампаний, сообщает SecurityLab.

Большинство известных группировок, действующих по бизнес-модели «Вымогательское-ПО-как-услуга» (Ransomware-as-a-Service, RaaS) продолжают свою деятельность даже после того, как правоохранительные органы арестовали ключевых членов группировок. Как сообщили ИБ-эксперты из компании Coveware, в четвертом квартале 2021 года группы вымогателей стали требовать более высокие суммы выкупов.

Средний размер выкупа в четвертом квартале 2021 года достиг $322 168 — на 130% больше, чем в предыдущем квартале. Поскольку нарушение работы крупных фирм провоцирует расследования и создает политическую напряженность на международном уровне, хакеры действуют более осторожно. Они атакуют достаточно крупные фирмы с намерением получить огромные выкупы, но не настолько крупные, чтобы атака вызвала больше геополитических проблем, чем принесла выгоды.

«Хотя средние и крупные организации продолжают подвергаться атакам, программы-вымогатели остаются проблемой малого бизнеса — 82% атак затрагивают организации с менее чем тысячей сотрудников», — объясняет Coveware.

В четвертом квартале 2021 года наиболее часто встречающимся вариантом вымогателей был Conti, на который пришлось 19,4% всех обнаружений вымогателей, LockBit 2.0 занял второе место (16,3%), а Hive — третье месте (9,2%).

Установление персистентности с помощью запланированных задач и выполнение кода характерно для 82% заражений. В 82% случав операторы вымогателей перемещались по сетям жертвы, пытаясь перейти к большему количеству устройств. Доступ к учетным данным был зафиксирован в 71% наблюдаемых случаев атак с использованием программ-вымогателей. В 63% инцидентов использовался командный центр для организации операций удаленного доступа.

Хищение данных, включая ввод с клавиатуры, снимки экрана, электронные письма, видео и другую информацию, связанную со шпионажем, характерно для 61% случаев атак.

Еще одно заметное изменение в тактике касается исходного вектора компрометации. Доступ по протоколу RDP, который раньше был предметом широкого обмена на рынках даркнета, неуклонно сокращается, поскольку злоумышленники начинают использовать уязвимости. Наиболее часто используемыми уязвимостями для проникновения в сеть жертвы в четвертом квартале 2021 года были CVE-2021-34473 , CVE-2021-26855 в Microsoft Exchange и CVE-2018-13379 в межсетевых экранах Fortinet.