Эксперты назвали самые «агрессивные» программы-вымогатели, атакующие российский бизнес

Исследование показало, что количество атак на организации на территории России увеличилось в 2021 году более чем на 200%. Наиболее активными здесь были операторы программ-вымогателей Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак.

В России, как и во всем мире, одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга»), поясняют эксперты. Именно так работают Dharma, Crylock и Thanos.

Другие группы, как например, русскоязычная RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

Средняя сумма выплаченного жертвой выкупа в России составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin, которая рассчитывала получить от жертвы 250 млн рублей.

Для сравнения в мире «ставки» киберпреступников значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн.

Наиболее популярным способом проникновения шифровальщиков в сети российских компаний является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В 2021 году на них пришлось до 60% всех кибератак, расследованных Group-IB. Чаще других подобным способом в инфраструктуру компаний проникали участники партнерских программ Dharma и Crylock.

На фишинговые рассылки, где первичным вектором атаки шифровальщика стала электронная почта, проходится 22% инцидентов. 

Уязвимости в публично доступных приложениях также стали причиной многих успешных атак программ-вымогателей в России в 2021 году — на них проходится 14% инцидентов. Так, например, довольно старая уязвимость в VPN-серверах Fortigate (CVE-2018-13379) до сих пор остается актуальной и критически опасной для многих российских компаний. 

Несмотря на распространенное заблуждение о том, что операторы программ-вымогателей «не работают по РУ», русскоговорящие группы и их партнеры в 2020-2021 годах активно атаковали российский бизнес. К сожалению, общий уровень кибербезопасности российских организаций остается крайне невысоким, констатируют эксперты.

Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!

Фото на обложке: Gorodenkoff / Shutterstock