Вор в цифре: кто они – лидеры киберпреступного мира

leer en español

Вор в цифре: кто они – лидеры киберпреступного мира

Cisco Talos раскрыла полный разбор тактик ведущих групп вымогателей.

image

В последние месяцы серия масштабных атак программ-вымогателей оказала значительное влияние на различные секторы экономики от больниц до аэропортов. В свете событий специалисты Cisco Talos провели тщательный анализ текущих лидеров среди групп вымогателей, чтобы понять современное состояние угроз.

Исследование Cisco Talos охватывает период с 2023 по 2024 год и основывается на анализе 14 групп вымогателей. В выборку вошли группы, которые отличились масштабом атак, влиянием на клиентов и нетипичным поведением. Источниками данных стали как публичные утечки, так и внутренние расследования и открытые отчеты. В список вошли такие известные группировки, как LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal, Rhysida, Hunters International, Akira и Trigona.

Среди всех групп особенно выделяются AlphV/Blackcat и Rhysida благодаря широкому спектру используемых тактик. В то же время, группы BlackBasta, LockBit и Rhysida не только шифруют данные, но и повреждают системы жертв, чтобы усилить эффект атаки. Группа Clop, в отличие от других, сосредотачивается на вымогательстве через кражу данных, а не на шифровании.

Типичная цепочка атак начинается с получения начального доступа через социальную инженерию, сканирование сетей и исследование открытых источников. Далее киберпреступники обеспечивают долгосрочный доступ, используя автоматизированные механизмы для сохранения присутствия в сети. После установления устойчивого доступа вымогатели анализируют целевую среду, повышают свои привилегии и готовят данные для кражи или шифрования.

На заключительном этапе злоумышленники запускают программу-вымогатель и уведомляют жертву о взломе. Если цель состоит в вымогательстве только через кражу данных, то этот этап пропускается.

В последнее время наблюдается рост числа атак, в которых используются известные уязвимости для проникновения. Например, уязвимости CVE-2020-1472 (Zerologon), CVE-2018-13379 (Fortinet FortiOS SSL VPN) и CVE-2023-0669 (GoAnywhere MFT) регулярно эксплуатируются для получения начального доступа и повышения привилегий.

С переходом к тактике двойного вымогательства, когда злоумышленники не только шифруют данные, но и крадут их, некоторые более зрелые группы, предоставляющие вымогательское ПО как услугу (RaaS), начали разрабатывать индивидуальное вредоносное ПО для кражи данных. Например, группы BlackByte и LockBit создали собственные инструменты для эксфильтрации данных.

В ходе анализа также была замечена тенденция к использованию легитимных коммерческих инструментов для управления и мониторинга, AnyDesk и ScreenConnect. Использование данных программ позволяет злоумышленникам смешиваться с корпоративным трафиком и сокращать расходы на разработку собственных инструментов.

Другой заметный тренд – это применение тактик обхода защиты для увеличения времени нахождения в сети жертвы. Злоумышленники используют инструменты для отключения или модификации антивирусных программ, а также функций операционной системы, предназначенных для обнаружения вредоносных нагрузок.

В последнее время также наблюдается рост использования инфостилеров среди групп вымогателей. Стилеры часто используются брокерами начального доступа (IAB) для сбора учетных данных и личной информации жертв, что облегчает начальный взлом систем.

В течение рассматриваемого периода были замечены многочисленные атаки, особенно нацеленные на США. Под удар попали такие отрасли, как производство и IT-технологии. Атаки привели к значительным финансовым потерям и сбоям в работе предприятий.

Для защиты от подобных угроз Cisco Talos рекомендует:

  • Регулярное управление исправлениями и обновлениями;
  • Внедрение строгих политик паролей и многофакторной аутентификации;
  • Укрепление систем и окружения, минимизация открытых для атаки поверхностей;
  • Сегментация сети и аутентификация устройств перед предоставлением доступа;
  • Внедрение систем мониторинга и реагирования на инциденты (SIEM и EDR/XDR);
  • Принцип минимальных привилегий для пользователей и систем;
  • Минимизация IT-систем, доступных из интернета.

Указанные меры помогут снизить риск взлома и защитить организации от серьезных последствий атак программ-вымогателей.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь