Эксперты «Лаборатории Касперского» сообщили , что в четвертом квартале 2022 года более 700 организаций по всему миру пострадали от таргетированных атак шифровальщиков.
За половину из этих атак ответственны всего восемь крупных групп киберпреступников. В настоящее время наиболее активны Clop (TA 505), Hive — группировка, работающая по RaaS-модели (Вредоносное ПО как услуга), предоставляя ПО в аренду другим хакерам и получая процент с каждой успешной вымогательской кампании.
Арендатор вредоносного ПО Hive может создать свою версию шифровальщика в течение 15 минут. Клиенты, имеющие доступ к панели Hive, могут видеть, сколько денег было собрано, какие компании заплатили выкуп и чьи данные были опубликованы на сайте утечек.
Частые цели Hive — критически важные организации, технологические компании, фирмы из сферы здравоохранения и транспорта.
» data-html=»true» data-original-title=»Hive»>Hive,
LockBit — это операторы одноименного вируса-шифровальщика, одной их характерных черт поведения которых является тактика двойного давления. Она заключается в том, чтобы скопировать файлы атакованной компании перед тем, как их повредить. После этого Lockbit обещает опубликовать конфиденциальную информацию жертвы, если она в скором времени не заплатит выкуп.
» data-html=»true» data-original-title=»LockBit»>Lockbit, RagnarLocker, BlackByte и BlackCat. Последние две стали атаковать с осени 2021 года.
Большинство атак было проведено LockBit. За все время существования шифровальщика количество его жертв превысило тысячу. Среди основных целей группы таки отрасли как, авиация, энергетика, консультационные услугу. Географический охват — от США, Китай, Индия, Индонезия, до стран Центральной и Северо-Западной Европы.
По данным отчета, операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для “работы” внутри инфраструктуры жертвы.
Как правило, для получения первоначального доступа используются протоколы RDP или средства эксплуатации уязвимости, а для действий внутри сети — инструменты PsExec, Empire и Mimikatz.
Как отметил эксперт компании, программы-вымогатели продолжают оставаться одной из ключевых угроз, их техники и тактики во многом совпадают и не меняются в течение долгого периода времени.