Действия правоохранительных органов подталкивают банды вымогателей к хирургическим атакам

DDoS-атак

Многочисленные операции правоохранительных органов, приведшие к арестам и ликвидации программ-вымогателей в 2021 году, вынудили злоумышленников сузить сферу своей деятельности и максимально повысить эффективность своих операций.

Большинство печально известных групп Ransomware-as-a-Service (RaaS) продолжают свою деятельность даже после того, как правоохранительные органы  арестовали ключевых членов, но усовершенствовали свою тактику для максимального воздействия.

Сдвиг в виктимологии

Согласно анализу, опубликованному Coveware, в котором рассматриваются данные переговоров о выкупе за четвертый квартал 2021 года, группы вымогателей теперь требуют более высоких выплат выкупа вместо увеличения объема своих атак.

В цифрах средний размер выкупа в четвертом квартале 2021 года достиг $322 168, что на 130% больше, чем в предыдущем квартале. Средняя сумма выкупа составила 117 116 долларов США, что на 63% больше, чем в третьем квартале.

Поскольку нарушение работы крупных фирм провоцирует расследования и создает политическую напряженность на международном уровне, мошенники теперь стремятся к хрупкому равновесию.

Они нацелены на достаточно крупные фирмы, чтобы получить огромные требования о выплате выкупа, но не настолько крупные или критические, которые принесут им больше геополитических проблем, чем выгод.

Если посмотреть на размер компании с точки зрения количества сотрудников, организации с более чем 50 000 сотрудников столкнулись с меньшим количеством инцидентов, поскольку злоумышленники решили больше сосредоточиться на организациях среднего размера.

«Хотя средние и крупные организации продолжают подвергаться воздействию, программы-вымогатели остаются проблемой малого бизнеса: 82% атак затрагивают организации с менее чем тысячей сотрудников», — объясняет Coveware.

Групповая тактика и активность

В четвертом квартале 2021 года наиболее часто встречающимся вариантом был Conti, на который пришлось 19,4% всех обнаружений, LockBit 2.0 занял второе место с 16,3%, а Hive — третье с 9,2%.

Учитывая, что три основных операции с программами-вымогателями используют тактику двойного вымогательства, неудивительно, что 84% всех атак в четвертом квартале 2021 года также включали украденные данные.

Этот процент был бы еще выше, если бы он зависел только от намерений субъектов, так как в некоторых случаях атаки обнаруживаются и останавливаются системами защиты преждевременно.

Что касается методов и процедур (TTP), Coveware сообщает следующее:

  • Установление постоянства с помощью запланированных задач и выполнения кода запуска характерно для 82% заражений.
  • В 82% атак программ-вымогателей субъекты совершали боковые перемещения , пытаясь перейти к большему количеству систем в той же сети.
  • Доступ к учетным данным лежит в основе 71% наблюдаемых случаев программ-вымогателей.
  • В 63% инцидентов использовался центр управления и контроля , организующий операции удаленного доступа.
  • Сбор данных , таких как ввод с клавиатуры, скриншоты, электронные письма, видео и другая информация, связанная со шпионажем, характерен для 61% случаев.

Еще одно заметное изменение в тактике касается исходного вектора компромисса. Доступ по протоколу RDP, который раньше был предметом широкого обмена на рынках даркнета, неуклонно сокращается, поскольку злоумышленники-вымогатели начинают использовать уязвимости.

Наиболее часто используемыми уязвимостями для входа в сеть в четвертом квартале 2021 года были CVE-2021-34473, CVE-2021-26855 и CVE-2018-13379 в устройствах брандмауэров Microsoft Exchange и Fortinet.

Последнее обновление 07.02.2022