1198
Шифровальщики – почему они не выходят из моды? Кто виноват и что делать
По результатам последних исследований, похищение данных составляет подавляющее большинство (94%) от общего числа киберпреступлений в мире. Данное обстоятельство связано с переходом преступников, применяющих вирусы-вымогатели, к новому механизму «двойного вымогательства». Новые продукты злоумышленников не только шифруют данные компании, но и выводят их из компании, требуя затем от атакованных как выкупа за дешифрацию собственных данных (без чего компания не может возобновить работу), так и выкупа за нераспространение похищенной у нее информации (что может привести к потере интеллектуальной собственности, компрометации персональных данных и репутационным потерям).
Такие данные приводит компания BlackFog в своем отчете о тенденциях в области вирусов-вымогателей за 11 месяцев 2024 года. Согласно данным отчета, среднее количество похищенных данных в не признаваемых публично атаках составило 592 GB. Количество признанных атак выросло на 25%, и на 26% – в отношении не признаваемых публично атак по отношению к 2023 году.
Согласно отчету компании IBM, среднее значение финансовых потерь от атаки вируса-вымогателя, совмещенного с выводом данных из компании, составило в 2024 году сумму в 5,2 миллиона долларов.
По мере совершенствования технологий атак защита от злоумышленников становится все более сложной. Правительства некоторых стран принимают меры, например, вводят требования для компаний об обязательном информировании уполномоченных организаций о случаях таких атак. Тем не менее рост числа атак данного типа продолжается.
Почему усложняется борьба с вирусами-вымогателями?
Злоумышленники все чаще используют легитимные программные продукты и утилиты. Так, в сентябре 2024 года был обнаружен вирус-вымогатель, совмещенный с выводом данных, атакующий серверы VMware ESXi, причем для вывода данных была использована стандартная утилита, что повышало скрытность атаки. По данным компании BlackFog, в 56% атак в 2024 году был использован PowerShell. По мнению ее исследователей, такой подход с использованием стандартных утилит позволяет избегать срабатывания систем тревоги у многих платформ защиты оконечных устройств.
Кто наиболее перспективен с точки зрения атакующих?
Наиболее перспективные с точки зрения злоумышленников организации постоянно находятся под пристальным вниманием и давлением. Так, производственный сектор, сервисные компании и технологический сектор являются весьма привлекательными с точки зрения целесообразности проведения атак. Для этих секторов недопустимы простои в работе, они характеризуются высоким уровнем цифровизации, и у них имеются большие объемы чувствительных данных. Эти организации, как правило, не сообщают публично о фактах атак.
Правительственные организации, образовательные учреждения, организации здравоохранения также подвергаются атакам, но эти случаи, как правило, носят публичный характер, и получение выкупа либо занимает больше времени, либо не происходит вообще. Тем не менее на этот сектор приходится 47% всех сообщений за 2024 год. Наибольший рост (96%) был зарегистрирован в секторе розничной торговли, где в конце 2024 года жертвами стали такие известные компании, как Starbucks, Sainsbury’s, Morrisons, атакованные через цепочку поставок.
Кто проводит атаки?
На фоне давно известных групп, занимающихся этим видом атак, есть как признанные лидеры-старожилы, так и большое количество новичков.
Самой активной группировкой по праву считалась LockBit, на счету которой зарегистрировано 603 атакованные организации. После успешной совместной операции, которую провели правоохранители Великобритании, США и ряда других стран, удалось сократить поступление денег злоумышленникам на 79% – по данным компании Chainalysis. Но платформа LockBit, предоставлявшая вирус как услугу, заработала в новом домене на darkweb через несколько дней после ареста ряда членов группы и оборудования.
На втором месте расположилась группа RansomHub, впервые замеченная в 2024 году, ее жертвами стали компании Kawasaki и нефтегазовая компания Halliburton.
Почетное третье место исследователи отвели компаниям Medusa и Play для публично признанных и непризнанных атак соответственно.
Во втором квартале 2024 года было установлено максимальное количество действующих групп, что связано с появлением новых, более мелких групп. Исследователи единодушны во мнении: одной из причин интенсивного роста количества групп злоумышленников является возросшая доступность систем ИИ, которые резко понижают входной барьер, позволяя даже неопытным преступникам планировать и проводить сложные атаки.
В подтверждение этих предположений аналитики BlackFog установили появление 48 новых преступных групп (рост на 65%) по отношению к предыдущему году. Более половины всех атак в последние два месяца 2024 года были проведены этими новыми группами.
Какие меры следует предпринять?
Как уже отмечалось выше, защита от вирусов-вымогателей становится достаточно сложной задачей и требует не только наличия экспертизы у атакуемых, но и инвестиций.
Существенно затруднить атаки со стороны вирусов-вымогателей мог бы переход от устоявшихся технологий защиты сетевого периметра организаций и предприятий к системе безопасности, реализующей концепцию Zero Trust, которая предполагает, что участники рынка ведут свою работу в условиях, когда сетевая инфраструктура организации скомпрометирована. Применение принципов Zero Trust позволяет либо существенно уменьшить ущерб от шифровальщиков, либо затруднить проведение атаки или обнаружить ее на самом начальном этапе.
К сожалению, зачастую службы кибербезопасности не имеют в своем распоряжении бюджетов на такие проекты. И получить бюджет можно только в бизнес-подразделениях, которые не всегда склонны идти навстречу, если угроза носит вероятностный характер. Ведущиеся в настоящее время дискуссии о введении оборотных штрафов за утечки данных и возражения бизнеса против таких мер, несомненно, на руку преступным группам, поскольку не стимулируют компании на развитие мер безопасности.
Здесь необходимо регулирующее воздействие – потенциальные крупные штрафы, как правило, стимулируют бизнес вкладывать деньги в безопасность. Особенно если штрафы носят оборотный характер. В качестве примера – европейские уровни штрафов за утечку персональных данных – от 2% (но не менее 10 млн евро – что больше) до 4% (но не менее 20 млн евро – что больше) от оборота компании. Аналогичные, хотя и несколько более низкие, штрафы грозят в Европе компаниям, нарушившим директиву 2022/2555 (NIS2), предписывающую требуемый уровень кибербезопасности для организаций.
И несомненно, для снижения рисков, связанных с атаками, необходимо существенно повысить уровень раскрываемости киберпреступлений, уделяя внимание не только непосредственным исполнителям преступления, но и тем, кто своими действиями (или бездействием) делают возможным проведение атаки. Не секрет, что зачастую уволенный сотрудник обнаруживает, что его учетная запись, которую должны были дезактивировать в момент подписания приказа об увольнении, остается активной. Да, преступление совершает уволенный сотрудник, но именно бездействие уполномоченных сотрудников организации существенно облегчает совершение правонарушения, и будет логичным, если сотрудник организации будет также привлечен к уголовной ответственности.
