Российские организации сильно атакованы более мелкими бандами вымогателей

17
Оператор американской телекомпании Sinclair подвергся атаке с использованием программ-вымогателей

Несмотря на то, что на американские и европейские компании приходится львиная доля атак с использованием программ-вымогателей, осуществляемых с территории России, компании в стране не избавлены от необходимости самостоятельно решать проблемы с шифрованием файлов и двойным вымогательством.

Тем не менее, действующие лица, которые в целом беспокоят компании из России и стран СНГ, не являются REvil, LockBit, DarkSide и другими наиболее известными группами, которые проводят громкие атаки на критически важные объекты инфраструктуры.

Как объясняет Касперский в подробном обзоре кибератак в первой половине 2021 года, СНГ (Содружество Независимых Государств) также является целью яркой киберпреступной экосистемы, нацеленной на российские компании каждый месяц, и о большинстве из них не сообщается.

Группы, которые составляют эту в значительной степени игнорируемую подкатегорию субъектов-вымогателей, обычно менее сложны, в основном используют более старые штаммы или просочившееся вредоносное ПО и сами устанавливают вторжение, а не покупают доступ к целям. 

Наиболее заметными семействами программ-вымогателей, которые были развернуты в этом году против российских целей, являются следующие: 

  • BigBobRoss
  • Crysis / Дхарма
  • Фобос / Экинг
  • Cryakl / CryLock
  • CryptConsole
  • Fonix / XINOF
  • Лимбозар / VoidCrypt
  • Танос / Хакбит
  • XMRLocker 

Старый, но все еще активный

Те, которые выделяются как исторически самые успешные сорта, — это Dharma и Phobos.

Впервые Dharma появилась на свет пять лет назад под названием Crysis, и, несмотря на свой возраст, она по-прежнему имеет одну из самых сильных и надежных схем шифрования. Актеры Dharma обычно получают неавторизованный доступ по протоколу RDP после перебора учетных данных и развертывания вредоносного ПО вручную.

Phobos вышел в 2017 году и достиг своей кульминации в начале 2020 года. И в этом случае основной точкой входа для актеров является несанкционированный доступ по RDP. Это вредоносное ПО на C / C ++, которое имеет контекстуально-техническое сходство со штаммом Dharma, но не имеет никакого отношения к нему.

Другой примечательный пример — CryLock, ветеран штамма, распространяющегося с 2014 года. Образцы, проанализированные Касперским в этом году, представляют собой современные версии, которые были полностью переписаны с нуля в Delphi.

Случаи оппортунистических атак с использованием просочившихся штаммов вымогателей касаются в основном Fonix, которая завершила свою программу RaaS в январе этого года. Остальные все еще работают, но все они считаются операциями более низкого уровня в мире киберпреступности.

Хотя эти программы RaaS приходят и уходят, они не лишены огневой мощи. Касперский предупреждает, что некоторые из этих штаммов все еще развиваются, и авторы работают над тем, чтобы сделать свои штаммы более мощными, поэтому ни один из них не следует игнорировать.

Российские компании могут предотвратить многие из этих угроз, просто заблокировав доступ по протоколу RDP, используя надежные пароли для доменных учетных записей, которые регулярно меняются, и получая доступ к корпоративным сетям через VPN.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here