Отказ от брендов: новые тенденции кибервымогателей
Хакеры-одиночки наращивают атаки, избегая ассоциаций с крупными группировками.
Согласно отчету компании Coveware, во втором квартале 2024 года число атак без явной привязки к конкретному бренду вымогательского ПО значительно возросло. Обычно такие атаки можно легко распознать по типу шифровальщика, записке с требованием выкупа или сайту в сети TOR. Однако в более чем 10% расследуемых инцидентов таких признаков не было. Это связано с тем, что некоторые преступники предпочитают действовать независимо, так называемые «одинокие волки».
Преступники всё чаще меняют бренды вымогательского ПО или действуют без привязки к конкретному бренду, чтобы скрыть свою личность. В современном мире кибервымогательства преступники обычно используют один бренд, но если хакеры атакуют чувствительные и крупные цели, например, больницы или большие компании, они стараются минимизировать риски. Высокий профиль жертвы может привлечь внимание к группировке и увеличить интерес правоохранительных органов.
Когда целый бренд вымогательского ПО ликвидируется, количество атак от независимых групп резко возрастает. Например, после развала групп BlackCat/ALPHV и Lockbit наблюдался рост атак от групп BlackSuit, RansomHub, Medusa и других. Методы и процедуры атак часто совпадали с теми, что использовали ликвидированные бренды, что указывает на переход участников на новые платформы.
Некоторые преступники предпочитают оставаться независимыми, но используют инфраструктуру известных брендов. Например, они могут арендовать сайт для утечки данных, чтобы угрожать жертве, или использовать чужой шифратор. Во втором квартале члены группы Scattered Spider использовали шифратор группы Qilin.
Такие тенденции показывают, что предприятия должны сосредоточиться на методах атак, а не на брендах вымогательского ПО. Сектора безопасности и СМИ часто акцентируют внимание на «брендах», чтобы сделать истории более интересными, но это отвлекает от более важных аспектов – методов атак.
Наиболее распространенные варианты программ-вымогателей во втором квартале 2023 года
Во втором квартале 2024 года средняя сумма выкупа слегка увеличилась до $391 015, а медианная сумма снизилась до $170 000. Увеличилось и количество случаев, когда компании выбирали оплату выкупа, особенно в случаях с утечкой данных.
График изменения выплат вымогателям
Основными векторами атак остаются удалённые взломы и фишинг. Важную роль играют системы управления событиями безопасности (SIEM), которые помогают быстрее выявлять и изолировать начальный доступ.
Наиболее распространенные векторы атак во втором квартале 2024 года
Основные тактики преступников включают эксфильтрацию данных, боковое перемещение в сети и влияние на доступность или целостность бизнес-процессов. Хакеры используют Megasync и Rclone для эксфильтрации данных, и активно перемещаются по сети с помощью RDP и SSH.
Наиболее распространенные TTPs во втором квартале 2024 года
Атаки продолжаются в различных отраслях, включая здравоохранение, промышленность и финансы. Кибервымогательство остаётся проблемой для малого и среднего бизнеса. Хотя большие компании привлекают больше внимания СМИ, основное число жертв – малый и средний бизнес.
Отрасли и численность компаний, затронутых программами-вымогателями во второй половине 2024 года
Текущие тенденции показывают, что организациям нужно сосредоточиться на защите от повторяющихся методов атак и улучшении мер кибербезопасности, чтобы минимизировать риски и последствия таких инцидентов.