Компания Group-IB составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес.
Всего в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.
Еще в марте текущего года эксперты прогнозировали, что волна шифровальщиков в 2021 году докатится и до России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории страны увеличилось в 2021 году более чем на 200%. Наиболее активными стали операторы вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак.
Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.
Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей.
Рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире «ставки» значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в размере 240 млн долларов.
Однако исследователи отмечают, что в России есть своя специфика: отсутствие информации об успешных атаках шифровальщиков и их жертвах объясняется тем, что вымогатели не использует публичные сайты для публикации данных компаний, которые отказались платить выкуп, и не выставляют украденную информацию на аукционах. Да и сами пострадавшие всеми силами стараются избежать огласки.
Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу RDP. В текущем году на них пришлось до 60% всех кибератак. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.
На фишинговые рассылки, где первичным вектором атаки стала электронная почта, проходится 22% инцидентов — этот тренд в 2021 году добрался и до России. К примеру, экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки.
Интересно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа — RMS или TeamViewer, а вместо шифровальщика — криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей.
Уязвимости в публично доступных приложениях также стали причиной многих успешных атак шифровальщиков в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков — BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.
«Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей “не работают по РУ”, русскоговорящие группы и их партнеры в 2020-2021 годах активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким — его едва ли достаточно для противостояния даже низкоквалифицированным вымогателям. Зачастую методы атакующих настолько просты, что часть атак можно было бы предотвратить, например, настроив только мультифакторную аутентификацию», — говорит Олег Скулкин, руководитель Лаборатории компьютерной криминалистики Group-IB.
