Кибервымогатели стали печься о репутации своих жертв

Специалисты израильской ИБ-компании KELA выявили необычную тенденцию среди кибервымогательских группировок – на начальном этапе переговоры об уплате выкупа проводятся с сохранением инкогнито жертвы. То есть, вымогатели стараются держать переговоры втайне от широкой общественности, позволяя жертвам сохранить свою репутацию.

Сразу не раскрывая название атакованной организации, киберпреступники дают ей возможность тайно договориться об оплате, при этом сохраняя на жертву определенное давление, угрожая опубликовать похищенные файлы в случае неуплаты.

Группировки Midas, Lorenz и Everest указывают на своих сайтах утечек только размер организации, отрасль и сведения о похищенных данных, но скрывают название, угрожая опубликовать и его, если жертва откажется платить.

Другие группировки также придерживаются такой тактики, заранее готовя на своих сайтах скрытые страницы для ведения переговоров с каждой жертвой.

Если кибервымогательская группировка опубликует название атакованной организации сразу, шансы на положительный исход переговоров существенно снижаются. Кроме того, если об атаке станет известно правоохранительным органам, жертва не сможет неофициально перевести крупную сумму вымогателям.

Согласно отчету KELA, посвященному тенденциям в мире вымогательского ПО в первом квартале 2022 года, общее число жертв кибервымогателей сократилось на 40% – с 982 в четвертом квартале 2021 года до 698 в первом квартале 2022 года. Частично это связано с постепенным сокращением операций и последующим прекращением деятельности кибервымогательской группировки Conti и тем, что новые группировки атакуют меньше жертв.

Наибольшее число атак приходится на вымогательское ПО LockBit, заразившего 226 жертв – практически столько же, сколько и в предыдущем квартале.

Что касается новых группировок, то на долю Alphv пришлось 8% от всех атак вымогателей, а на долю Karakurt – 5%. Для сравнения, LockBit стоит за 32% от всех атак вымогателей в первом квартале текущего года, а Conti – за 18%.

На 40% увеличилось число атак вымогателей на финансовый сектор. Здравоохранение, производство и технологии продолжают входить в пятерку наиболее атакуемых секторов.

Чаще всего жертвами вымогательского ПО становятся организации в США (40% от всех атак), далее следуют Великобритания, Италия, Германия и Канада. Франция, ранее входившая в топ-5 самых атакуемых стран, уступила свое место.

В отчете KELA сообщается еще об одной интересной тенденции, когда некоторые кибервымогательские группировки, в частности, Conti, Hive, AlphV и AvosLocker, публикуют на своих сайтах данные одних и тех же жертв. Хотя атаки, казалось бы, осуществляются разными группировками, на самом деле за ними может стоят один и тот же киберпреступник, являющийся партнером сразу нескольких кибервымогательских группировок.