Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware
2024
Российские компании — под атакой группы кибервымогателей Muliaka
F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом. Об этом F.A.C.C.T. сообщил 9 апреля 2024 года.
В январе 2024 года одна из российских компаний была атакована неизвестной ранее преступной группой вымогателей — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.
Период с момента получения доступа к ИТ-инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management).Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово "муляка", обозначающее грязную мутную воду.
Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет (см. рис.) и соответствующую задачу. Надо отметить, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы продвинутые атакующие все чаще предпочитают использовать этот продукт для скрытного и эффективного продвижения по сети.
Перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт Update.ps1, который предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, он же отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. В компании F.A.C.C.T. напомнили, что подобную технику ранее использовала группа вымогателей OldGremlin.
Наибольший интерес у криминалистов вызвали стоящие на вооружении у группы Muliaka программы-вымогатели. Например, шифровальщик для Windows был разработан основе утекших в публичный доступ исходных кодов вымогателя Conti 3, однако представляет собой одну из наиболее интересных его модификаций.
Шифрование файлов осуществляется в два прохода. Это сделано для того, чтобы при первом проходе максимально быстро заблокировать данные жертвы, а при втором – максимально усложнить возможность их расшифровки и восстановления без оплаты выкупа.
Образец программы-вымогателя для ESXi на хостах жертвы не удалось найти, он был удален атакующими. Однако полученной информации было достаточно, чтобы найти другие образцы программ-вымогателей для Windows и ESXi. Два месяца назад образец программы-вымогателя для ESXi был загружен на портал VirusTotal и до сих пор не детектируется ни одним антивирусным вендором. Примечательно, что практически все найденные образцы были загружены на портал VirusTotal из Украины.
 | Специалисты F.A.C.C.T. подключились к расследованию атаки группы Muliaka уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на апрель 2024 года точно не установлено. Нельзя исключать использование в качестве начального вектора атаки уязвимостей в публичных приложениях или фишинг, — рассказал Антон Величко, руководитель Лаборатории компьютерной криминалистики компании F.A.C.C.T. — По нашим данным, группа активна как минимум с декабря 2023 года и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов. |  |
В России запущен интерактивный симулятор атаки вирусов-вымогателей
В России запущен интерактивный симулятор атаки вирусов-вымогателей. Речь идет о разработке «Лаборатории Касперкого». Пресс-служба компании рассказала о ней в начале марта 2024 года. Подробнее здесь.
В России ликвидирована группа кибервымогателей SugarLocker
Сотрудники МВД России при поддержке специалистов компании F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями, вычислили и задержали участников преступной группы вымогателей SugarLocker. Работали злоумышленники под вывеской легальной ИТ-фирмы, предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов. Об этом TAdviser 20 февраля 2024 года сообщили представители F.A.C.C.T.
По данным следствия, программа-вымогатель SugarLocker (aka Encoded01) появилась еще в начале 2021 года, но в первое время активно не использовалась. В ноябре 2021 же года на андеграундном форуме RAMP от участника под ником gustavedore было опубликовано объявление о запуске партнерской программы по модели RaaS (от англ. Ransomware-as-a-Service, «программа-вымогатель как услуга») и наборе партнёров в группу вымогателей, использовавших шифровальщик SugarLocker. Суть модели RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей.
В объявлении говорилось, что хакерская группировка атакует цели через сети и RDP — протокол удаленного рабочего стола, не работает по странам СНГ и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — SugarLocker. В случае, если доход превысит $5 млн, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.
В начале января 2022 года эксперты F.A.C.C.T. установили, что некоторые элементы инфраструктуры SugarLocker располагались на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить SugarPanel — панель управления программой-вымогателем.
В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы.
Работали злоумышленники под вывеской легальной ИТ-фирмы Shtazi-IT, предлагающей услуги по разработке лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых сотрудников — разработчиков, в контактах был указан Telegram-аккаунт все того же @GustaveDore. Всю собранную информацию эксперты F.A.C.C.T. передали в полицию — БСТМ МВД России.
В январе 2024 года трое членов группы SugarLocker были задержаны сотрудниками БСТМ МВД России при участии специалистов компании F.A.C.C.T. В ходе обыска у подозреваемых были обнаружены ноутбуки, мобильные телефоны, следы переписки, прочие цифровые улики, подтверждающие их противоправную деятельность. Среди задержанных оказался и обладатель ник-неймов blade_runner, GistaveDore, GustaveDore, JimJones.
По информации F.A.C.C.T., фигурантам уже предъявлены обвинения по статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Ведётся следствие.
M0r0k T34m атакует организации под видом «однофамильцев» действующих сотрудников
Команда отдела реагирования и цифровой криминалистики Angara SOC обнаружила группировку M0r0k T34m (Morok Team) (Sunset Wolf) - кластер, активный как минимум с ноября 2023 года. Хакеры атакуют различные организации с целью распространениях программы-вымогателя и затем требуют выкуп за расшифровку. Об этом компания Angara Security сообщила 9 февраля 2024 года.
Группировка применяет собственную программу-вымогатель - M0r0k, написанную при помощи Python и использующую алгоритм Fernet для рекурсивного шифрования файлов. Никакого дополнительного расширения при этом не добавляется, но в начало зашифрованного файла идет добавление строки MR !
Из примечательного, в качестве закрепления в скомпрометированной сети и коммуникации с так называемым сервером управления используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины.
| | ngrok в принципе стал очень популярен, например, ее использование характерно для Shadow Wolf (также известны как Shadow или C0met). Дополнительно атакующие также создают учетные записи, которые в последующем добавляют в привилегированные группы, а выбирают названия учетных данных максимально похожих на легитимные, в том числе "однофамильцев" действующих сотрудников», - сказал Никита Леокумович, руководитель отдела реагирований и цифровой криминалистики Angara SOC. | |
Несмотря на то, что полная реконструкция инцидента еще идет, эксперты отмечают, что получение первоначального доступа в сеть реализуется через эксплуатирование уязвимостей публично доступных приложений.
Риск заражения может быть снижен за счет мониторинга информационной инфраструктуры, а именно выявление обнаружение и реагирование на массовое удаление, создание или изменение файлов, добавление привилегированных учетных записей, использование утилит для удаленного подключения и все внешние подключения.
2023
«Транстелеком» атакован вирусом-вымогателем
«Транстелеком» атакован вирусом-вымогателем, о чем стало известно в конце октября 2023 года. Как рассказали «Коммерсанту» источники на рынке информационной безопасности, у компании собственный центр реагирования на киберинциденты, но тем не менее хакерам удалось поразить ИТ-инфраструктуру поставщика телекоммуникационных решений для частных пользователей и крупного бизнеса. Подробнее здесь.
Количество кибератак программ-вымогателей в России за 9 месяцев выросло на 75%, средняя сумма выкупа за расшифровку - 37 млн руб
20 октября 2023 года лаборатория цифровой криминалистики компании F.A.С.С.T. сообщила о том, что исследовала высокотехнологичные преступления 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом 2022 года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Еще стремительнее росло количество политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры — рост к 2022 году составил 140%. Подробнее здесь.
Установлена связь вымогателей Shadow c хактивистами из группы Twelve
Эксперты компании F.A.C.C.T. выяснили, что вымогатели из преступной группы Shadow и хактивисты из Twelve являются частью одной хак-группы. Об этом компания сообщила в сентябре 2023 года. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру. Однако, если Shadow движет финансовая мотивация — за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей, то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
_%D0%B8_%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%B5%D1%86_%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%BE%D1%82_Twelve.png)
Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. зафиксировали в феврале-марте 2023 года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере $1,5-2 млн., примерно 140-190 млн рублей по текущему курсу.
Хакеров отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе проводят полное шифрование инфраструктуры. Для Windows-систем вымогатели используют версию программы-вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.
Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может проходить в Telegram-канале атакующих. Любопытно, что хакеры могут похищать сессии Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям компании.
Параллельно с Shadow в феврале 2023 года были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы. Именно эта группа — Twelve — весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае — на российского производителя гидравлического оборудования.
В своих кампаниях Twelve использовали также версию программы-вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект — «это ответ мира на российские кибератаки.
Злоумышленники атакуют российские компании с помощью утекших исходных кодов программ-вымогателей
Преступные группы Battle Wolf, Twelfth Wolf и Shadow Wolf используют для атак на российские организации утекшие в сеть программы-вымогатели Babuk, Conti и LockBit. По данным киберразведки BI.ZONE, число атак превышает 40. Об этом компания сообщила 6 сентября 2023 года.
С начала 2022 года внутри многих преступных групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.
Battle Wolf появилась в конце февраля 2022 года на фоне геополитических событий. По данным, публикуемым группой в X (ранее Twitter), за это время она успешно атаковала как минимум 15 крупных организаций на территории России: научные, производственные, государственные, финансовые и другие.
Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем Telegram-канале группа сообщала об атаке на один из федеральных органов исполнительной власти РФ, которая, по их словам, привела к утечке конфиденциальной информации.
Shadow Wolf заявила о себе в марте 2023 года несколькими успешными атаками на российские инженерные, страховые, транспортные и медиакомпании. В отличие от Battle Wolf и Twelfth Wolf, группа руководствуется исключительно финансовыми мотивами. Коммуникация между представителем Shadow Wolf и жертвой обычно проходит на странице в дарквебе, адрес которой помещен в записку с требованием выкупа за расшифровку и удаление выгруженных данных. В некоторых случаях атакующие создают чат в Telegram, куда добавляют весь ИТ-персонал пострадавшей организации.
| | Опубликованные в сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом, — отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE. | |
Узнавать о новых группах атакующих, актуальных техниках и тактиках киберпреступников помогут решения киберразведки. Для эффективного выявления новых угроз эксперты BI.ZONE советуют применять решения класса EDR (обнаружение и реагирование на конечных точках).
Российские компании атакуют рассылками с шифровальщиком PyCrypter под видом криптообменника с VPN
11 июля 2023 года центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и ИТ-компании. В письмах, перехваченных 9 июля 2023 года автоматизированной системой защиты электронной почты Business Email Protection от F.A.C.C.T., получателям предлагают использовать приложение CryptoBOSS для работы с криптовалютой и VPN.
В сообщении рекламируют "безопасный и полностью анонимный доступ ко всем валютам". Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика PyCrypter. Любопытно, что домен, с которого загружается ВПО – crypto4boss[.]com совсем свежий, зарегистрирован 6 июля специально под атаку на пользователя с почтой vladymir.stojanov@hotmail[.]com
Эта учетная запись с юзернеймом Vladimir Stoyanov уже использовалась осенью 2022 года и весной 2023 года в рассылках другого шифровальщика — Cryptonite. Тогда в письмах от имени председателя правительства Михаила Мишустина предупреждалось об "атаке" некой шпионской программы, подготовленной "американскими ИТ-специалистами". От пользователей требовали скачать "программу от МВД", которая якобы удаляет ВПО и защищает от повторного заражения. Но на самом деле через ссылку Google Drive загружался шифровальщик.
.jpg)
Теперь эта история повторяется уже в виде криптофарса.
Новые вирусы-вымогатели атакуют российские компании и требуют выкуп в 8 млн рублей
18 мая 2023 года эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Как сообщалось, первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021 года. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.
В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.
Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.
Начиная с апреля 2022 года «близнецы-вымогатели» LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Это является еще одним подтверждением, что от атак шифровальщиков не застрахован никто, а масштаб бизнеса — не является для части из них важным критерием.
Начальная сумма выкупа, которую требуют вымогатели, колеблется от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), финальный размер зависит от платежеспособности компании и числа приобретаемых жертвой ключей расшифровки — для каждого зашифрованного хоста требуется свой оригинальный декриптор.
Одной из особенностей вымогателей, на которую обратили внимание эксперты, является проверка языка ввода — если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям. В свою очередь криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
В компании F.A.C.C.T. установили, что в среднем продолжительность атак вымогателей LokiLocker и BlackBit составляет от суток до нескольких дней. В качестве первоначального вектора атаки злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары «логин/пароль» (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день. Предварительно, вымогатели стараются отключить антивирусное программное обеспечение, используя легитимные утилиты (T1562.001). В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. По истечении 30-дневного срока — если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.
| | В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker. Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, в первую очередь публично доступных терминальных серверов — это значительно расширяет поверхность атаки и оптимизирует задачу злоумышленникам. заметил Валерий Баулин, генеральный директор компании F.A.C.C.T. | |
Эксперты F.A.C.C.T. рекомендуют компаниям малого и среднего бизнеса использовать простые и удобные в работе продукты класса Attack Surface Management, которые анализируют «пробелы» в защите внешнего периметра компании, включая по неосторожности оставленные открытыми порты, «забытые» и неконтролируемые ИТ-ресурсы и другие потенциальные пути проникновения злоумышленников в инфраструктуру организации.
Если же компанию атаковали — наиболее быстрым способом реагировать на инцидент является так называемый ретейнер — это пакет предоплаченных проактивных и реактивных сервисов для профессионального реагирования на атаку в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагирование или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование юридических документов.
В России зафиксированы атаки вирусов-вымогателей без возможности восстановления данных
В марте 2023 года в специализирующейся на кибербезопасности компании BI.Zone сообщили об атаках хакерской группировки Key Wolf на российских пользователей. По словам ИБ-экспертов, злоумышленники распространяют файл с вирусом-вымогателем, которая шифрует все данные на компьютере. Причем у жертв нет возможности дешифровать данные, даже за выкуп. Подробнее здесь.
2022
Почти 68% исследованных кибератак в России завершались шифрованием данных
17 марта 2023 года компания Group-IB сообщила о том, что исследовала высокотехнологичные преступления 2022 года на базе проведенных реагирований на инциденты в российских компаниях.
По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.
Наиболее агрессивными группами программ-вымогателей в России в 2022 году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.
Еще одной тенденцией 2022 года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс. Кибердиверсии — отличительная черта 2022 года. Этому во многом способствовал геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit — криминалисты Group-IB неоднократно видели их использование в атаках на организации в России.
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений — ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).
Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.
Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.
Еще одним способом получения первоначального доступа к ИТ-инфраструктурам компаний стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом брутфорс (brutforce, перебор паролей), так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.
Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах.
| | Исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса. В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно. Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты. | |
Услуга ритейнера по реагированиям на инциденты набирает популярность на российском рынке, говорится в исследовании. Ритейнер — это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагировании или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов. Впервые услуга ритейнера в России была запущена Лабораторией компьютерной криминалистики Group-IB в 2015 году.
В 2022 году международная консалтинговая компания Aite-Novarica в отчете Impact Report признала Group-IB одним из самых крупных поставщиков услуги Incident Response Retainer (IRR).
Вымогатели из группы OldGremlin поставили рекорд года по сумме требуемого выкупа - 1 млрд руб
Компания Group-IB выпустила аналитический отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", посвященный русскоговорящей хакерской группировке вымогателей. Об этом стало известно 20 октября 2022 года. Всего за два с половиной года «гремлины», по данным Group-IB, провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. Второй год подряд вымогатели бьют рекорд: если в 2021 году группа требовала у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб. На октябрь 2022 года известно, что OldGremlin атакует исключительно российские цели, однако аппетиты группировки потенциально могут иметь более широкую географию.
Несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: количество кибератак вымогателей на российские компании увеличилось более чем на 200%.
Активность OldGremlin (aka TinyScouts) была впервые замечена аналитиками Group-IB Threat Intelligence в марте 2020 года и подробно описана в сентябре 2020 года в блоге «Большая охота OldGremlin: операторы шифровальщика атакуют крупные компании и банки России».
Самым насыщенным для «гремлинов» оказался 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — якобы от сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и др.
Рассылки «гремлинов» четко нацелены на определенные отрасли. Среди их жертв — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 млрд руб. В отличии от других групп вымогателей — участников «Big Game Hunting» — охоты на крупную цель, «гремлины» после проведения успешной атаки могут позволить себе длительные отпуска.
Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.
Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux. Атакующие следят за последними тенденциями в мире кибербезопасности и «миксуют» уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.
В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.
В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.
| | По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — заметил Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели. Публикуя первый аналитический отчет, посвященный этой группе мы ставим себе цель предупредить специалистов по кибербезопасности об этой угрозе и дать им возможность принять превентивные меры для ее предотвращения. | |
Как и всегда, отчет Group-IB открывает доступ к набору данных и подробной информации об актуальных техниках, тактиках и процедурах атакующих (TTPs), описанных на основе MITRE ATT&CK. Эти сведения будут полезны как организациям, которые борются с киберпреступностью, и в частности, руководителям команд кибербезопасности, SOC-аналитикам, специалистам по реагированию на инциденты, так и потенциальным жертвам для того, чтобы обезопасить свою инфраструктуру от новых атак OldGremlin.
Распространяющие в России вирусы-вымогатели хакеры снизили средний размер выкупа на 51% до $36 тыс
Распространяющие вирусы-вымогатели хакеры стали требовать гораздо меньше выкупа в России. Об этом свидетельствуют данные компании «РТК-Солар», которые были обнародованы в ноябре 2022 года.
По словам ИБ-экспертов, величина выкупа за год сократилась более чем в 20 раз. Аналитик Positive Technologies Федор Чунижеков подтверждает тенденцию, но называет другие цифры. Во втором квартале 2022 года медианный размер выкупа составил около $36 тыс., что меньше показателей конца 2021 года на 51%. Стартап по киберстрахованию Coalition в своем отчете утверждает, что в первом полугодии 2022 года злоумышленники предлагали их клиентам платить в среднем $896 тыс., что на треть меньше, чем в конце 2021 года.
Участники рынка связывают эту тенденцию с ужесточением требований регуляторов к реагированию бизнеса на подобные инциденты, а также с относительно невысокой стоимостью услуг расследователей происшествий.
1 сентября 2022 года согласно закону «О персональных данных» организации, обрабатывающие информацию о пользователях, при утечке обязаны в течение 24 часов уведомить о происшествии Роскомнадзор, а в течение 72 часов предоставить результаты внутреннего расследования.
| | Важно понимать, что, привлекая компанию на расследование, заказчик получает информацию о том, как злоумышленники проникли в сеть, какими уязвимостями воспользовались, и может закрыть этот путь, — подчеркнул директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков. | |
При этом сообщается, что себестоимость таких атак мошенников остается, поэтому они могут оставаться прибыльными. Эксперты отмечают, что в России остается ряд группировок, которые занимаются мошенническими действиями, а их доход составляет около 1 млрд рублей.[1]
2021
От вирусов-вымогателей пострадали 16 тыс. российских компаний
От вирусов-вымогателей в 2021 году пострадали 16 тыс. российских компаний. Об этом свидетельствуют данные «Лаборатории Касперского», обнародованные 16 февраля 2022 года.
Эксперты антивирусной компании в 2021 году выявили 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всём мире. Отмечается, что злоумышленники, применяющие программы-вымогатели, стали чаще использовать сборки Linux, чтобы увеличить поверхность атак. Как сообщил эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын, подготовка и проведение атак с использованием шифровальщиков осуществляется в рамках целых экосистем с четким разделением труда.
| | Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик, применяемых мошенниками, - добавил эксперт. | |
В исследовании также говорится, что в 2021 году сохранился тренд на организацию атак при помощи вирусов-вымогателей с целью получения выкупа. Перед шифрованием операторы крадут данные у компаний и угрожают выложить их в публичный доступ, если им не заплатят.
В «Лаборатории Касперского» дали компаниям несколько рекомендаций, помогающих снизить вероятность успешных атак программ-вымогателей:
- не допускать, чтобы сотрудники подключались к службам удалённого рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьёзной необходимости;
- устанавливать обновления для коммерческих VPN-решений;
- регулярно обновлять программное обеспечение на всех используемых устройствах;
- сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет;
- применять комплексные защитные решения кибербезопасности;
- регулярно создавать резервные копии данных.[2]
Названы самые «агрессивные» вирусы-вымогатели в России. Суммы потерь
24 ноября 2021 года в компании Group-IB назвали тройку самых «агрессивных» вирусов-вымогателей, атакующих российских бизнес. В список вошли шифровальщики Dharma, Crylock и Thanos.
С помощью каждой из этих вредоносных программ в 2021 году было совершено более 100 атак на российские компании. Отмечается, что максимальная запрошенная сумма выкупа составила 250 млн рублей (ее требовала группировка OldGremlin). В целом же этот показатель зависит как от величины бизнеса, так и от аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, а максимальная выплаченная — 40 млн рублей.
Самый популярный способ, который используют для проникновения шифровальщиков в сети российских организаций, — компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). На этот способ пришлось до 60% всех кибератак, расследованных командой Group-IB по реагированию на инциденты.
На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, приходится 22% инцидентов. Экспертами Group-IB была обнаружена группа Rat Forest, которая получала первоначальный доступ в корпоративные сети именно через фишинговые рассылки. 14% инцидентов пришлось на уязвимости в публично доступных приложениях.
Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. К примеру, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) к ноябрю 2021 года остается актуальной и критически опасной для многих российских компаний. В одном из инцидентов, который расследовала Group-IB, атакующие воспользовались подобной уязвимостью и получили доступ в корпоративную сеть организации. После этого они применили встроенное в операционную систему средство шифрования дисков — BitLocker, и запросили выкуп за расшифровку размере 20 млн рублей.[3]
На медучреждения в РФ впервые обрушились атаки вирусов-вымогателей
В начале февраля 2021 года стало известно о первых атаках вирусов-вымогателей на российские больницы. Хакеры используют такие вредоносные программы для шифрования пользовательских данных и кражи важных сведений, заявил замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ, создан по приказу ФСБ для борьбы с угрозой хакерских атак на инфраструктуру России) Николай Мурашов. Подробнее здесь.
2019: ESET зафиксировала атаку программы-вымогателя Shade на российские компании
13 февраля 2019 года ESET сообщил об очередной разновидности атаки программы-вымогателя Shade, нацеленной на российские компании.
Программа распространяется через спам-рассылку. Письма маскируются злоумышленниками под уведомления от известных брендов.
Во вложении таких писем находится ZIP-архив, который содержит JavaScript-файл под названием «Информация.js»; после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами ESET как Win32/Injector. В свою очередь, загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh), который шифрует широкий спектр файлов на локальных дисках.
На компьютере жертвы сохраняется инструкция по оплате выкупа в TXT-файле, сообщение написано на русском и английском языках.
Антивирусные решения ESET NOD32 детектируют программу как Win32/Filecoder.Shade.
На февраль 2019 года вымогатель Shade проявляет наибольшую активность в России (более 52% от всех обнаруженных вредоносных вложений). Также атаке подверглись пользователи Германии, Японии и Украины.
2017
Вымогатель Bad Rabbit атаковал российские СМИ и украинские госучреждения
Согласно отчету Check Point Software Technologies, 24 октября 2017 года российские СМИ и украинские государственные учреждения пострадали от кибератак вымогателя Bad Rabbit. Среди других жертв оказались Турция и Болгария.
Вымогатель BadRabbit требует от жертв выкуп в размере 0,05 биткоинов (около $280) за первые 40 часов заражения, после чего цена, вероятно, начинает расти до неизвестных пределов.
Шифровальщик распространяется через фальшивый установщик программного обеспечения Flash, который, как утверждается, появляется как всплывающее окно с официального сайта новостей в России. При нажатии всплывающее окно переадресует жертву на вредоносный сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы).
Вымогатель использует программное обеспечение с открытым кодом под названием DiskCryptor (доступно на GitHub) для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое эксперты Check Point наблюдали до сих пор между двумя зловредами, во всех других аспектах BadRabbit — совершенно иной и уникальный вид вымогателя, подчеркнули в компании.
После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor.
При вводе пользовательского ключа на сайте оплаты каждый пользователь получает уникальный биткоин-кошелек, на который просят перевести 0,05 биткоина.
По утверждению Check Point, как в случае с WannaCry и Petya, атака Bad Rabbit может быть предотвращена. Заказчики Check Point, использующие продукты Check Point Threat Emulation blade и Check Point Anti-Virus blade, защищены от этой угрозы.
Россия больше не в фокусе программ-вымогателей
Согласно отчету «Лаборатории Касперского», опубликованному 26 июня 2017 г, Россия вышла из списка топ-10 государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями. По итогам отчетного периода (сравниваются итоги периодов 2015-2016 гг. и 2016-2017 гг.) наша страна уступила место Турции, Вьетнаму и Японии. Доля вымогателей в общем числе заражений мобильными зловредами в России снизилась до 0,88% (в 2015-2016 годах этот показатель составлял 4,91%), указали в антивирусной компании.
Такое резкое падение аналитики «Лаборатории Касперского» объясняют двумя факторами: ростом количества атак вредоносного ПО в целом, на фоне которого доля шифровальщиков растворилась; а также снижением активности трояна Small, традиционно атакующего, в первую очередь, Россию и страны постсоветского пространства.
В целом число пострадавших от троянов, шифрующих файлы, в мире выросло практически вдвое — с 718 536 в 2015–2016 гг. до 1 152 299 в 2016-2017 гг. Количество жертв всех программ-вымогателей за тот же период выросло на 11,4%: с 2 315 931 до 2 581 026.
По оценкам экспертов антивирусной компании, атаки шифровальщиков всё более нацелены на финансовую и промышленную инфраструктуру. Это объясняется тем, что, целевые вредоносные атаки на организации рассматриваются преступниками как более прибыльные, нежели массовые атаки на рядовых пользователей.
«Недавние вспышки эпидемий троянов WannaCry в мае и ExPetr в июне этого года, поразившие тысячи компьютеров коммерческих компаний и правительственных организаций по всему миру, лишь подтверждают наши опасения», — отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».
Как известно, в нынешнем году произошли две масштабные кибератаки с использованием вымогательского ПО. В мае вымогатель WannaCry парализовал работу компьютеров в более 150 странах мира. В конце июня атакам вымогательского ПО NotPetya подверглись российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.[4]
2016: ЛК: 75% шифровальщиков созданы русскоязычными хакерами
Из 62 семейств программ-шифровальщиков, обнаруженных «Лабораторией Касперского» в 2016 году, по меньшей мере 47 были созданы русскоговорящими киберпреступниками. В общей же сложности от подобных зловредов по данным компании, пострадало около 1,5 миллионов пользователей во всем мире, включая различные организации.
О происхождении большинства шифровальщиков экспертам «Лаборатории Касперского» стало известно после пристального изучения андеграундного сообщества русскоязычных вирусописателей и их «партнеров». Русскоговорящая киберпреступная среда активно развивается, и на смену небольшим группировкам с ограниченными возможностями приходят большие коалиции, обладающие всеми необходимыми ресурсами для атак на любые цели по всему миру, в том числе на крупные предприятия. Бурный рост числа «русских» программ-шифровальщиков стал возможен именно благодаря этому фактору — развитой и гибкой экосистеме киберпреступного сообщества.
«Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов — это самые привилегированные участники андеграундного сообщества. Другая группа людей развивает и поддерживает партнерские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты. На низшей же ступени этой иерархии находятся собственно «партнеры» — киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа.
По данным «Лаборатории Касперского», ежедневная выручка, получаемая киберпреступниками в рамках одной партнерской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60% выручки — это чистая прибыль.
«Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью — достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — рассказывает Антон Иванов, антивирусный эксперт «Лаборатории Касперского».
См. также
Примечания
