Как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в четвёртом квартале 2022 года. Об этом в новом отчете сообщила
«Лаборатория Касперского».
Согласно данным отчета, за половиной кибератак стоят восемь крупных групп. На текущий момент самыми активными остаются Clop (TA 505), Hive — группировка, работающая по RaaS-модели (Вредоносное ПО как услуга), предоставляя ПО в аренду другим хакерам и получая процент с каждой успешной вымогательской кампании.
Арендатор вредоносного ПО Hive может создать свою версию шифровальщика в течение 15 минут. Клиенты, имеющие доступ к панели Hive, могут видеть, сколько денег было собрано, какие компании заплатили выкуп и чьи данные были опубликованы на сайте утечек.
Частые цели Hive — критически важные организации, технологические компании, фирмы из сферы здравоохранения и транспорта.
» data-html=»true» data-original-title=»Hive»>Hive,
LockBit — это операторы одноименного вируса-шифровальщика, одной их характерных черт поведения которых является тактика двойного давления. Она заключается в том, чтобы скопировать файлы атакованной компании перед тем, как их повредить. После этого Lockbit обещает опубликовать конфиденциальную информацию жертвы, если она в скором времени не заплатит выкуп.
» data-html=»true» data-original-title=»LockBit»>Lockbit, RagnarLocker, BlackByte и Black Cat, причём две последние стали атаковать с осени 2021 года.
Наибольшее число атак было проведено LockBit: за весь период существования шифровальщика количество его жертв перевалило за тысячу. Чаще всего злоумышленники атаковали предприятия из авиационной и энергетической отрасли. На третьем месте по популярности среди хакеров оказалась сфера консультационных услуг.
География жертв также разнообразна: США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы. Операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы. Для получения первоначального доступа чаще всего это протоколы RDP или средства эксплуатации уязвимости, для действий внутри сети — инструменты PsExec, Empire, Mimikatz.
«Программы-вымогатели продолжают оставаться одной из ключевых угроз. Мы проделали огромную аналитическую работу по этому типу зловредов и выявили, что их техники и тактики во многом совпадают и не меняются в течение долгого периода времени. В нашем отчёте собрана масса полезной информации для компаний, которая поможет им противостоять этой угрозе», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».