Самыми агрессивными программами-вымогателями, которые в 2020-2021 годах работали на территории России, стали Dharma, Crylock, Thanos, говорится в исследовании Group-IB. По данным экспертов, каждый из них совершил более 100 атак на российский бизнес.
Исследование показало, что количество атак на организации на территории России увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак.
В России, как и во всем мире, одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга»), поясняют эксперты. Именно так работают Dharma, Crylock и Thanos.
Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.
Средняя сумма выплаченного жертвой выкупа в России составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin, которая рассчитывала получить от жертвы 250 млн рублей.
Для сравнения в мире «ставки» киберпреступников значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.
Наиболее популярным способом проникновения шифровальщиков в сети российских компаний является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В 2021 году на них пришлось до 60% всех кибератак, расследованных Group-IB. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.
На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов.
Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. Так, например, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний.
Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей «не работают по РУ», русскоговорящие группы и их партнеры в 2020-2021 годах активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким, констатируют эксперты.
Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!
Фото на обложке: Gorodenkoff /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Как открыть микромаркет»
- 1 Фонд сооснователя Positive Technologies купит часть активов F.A.C.C.T. и создаст новую ИБ-компанию
- 2 F.A.C.C.T. зафиксировал использование дипфейков Дональда Трампа в криптомошенничестве
- 3 Эксперты назвали самые опасные форматы файлов в электронных письмах
- 4 С начала года в интернет попали 210 баз с данными клиентов российских компаний
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025