КиберпанкДетали

Group-IB: компании по всему миру потеряли более $1 млрд из-за вирусов-шифровальщиков. Главное с конференции CyberCrimeCon 2020

Использование программ-вымогателей стало главным трендом работы киберпреступников в текущем году. 

В конце 2019 года и на протяжении 2020-го компании по всему миру столкнулись с огромным количеством атак программ-шифровальщиков. Ущерб от вымогателей составил как минимум $1 миллиард. Об этом сообщил сооснователь и технический директор Group-IB Дмитрий Волков на конференции CyberCrimeCon 2020, где представили отчет Hi-Tech Crime Trends 2020. 

Кража данных у компаний с помощью программ-шифровальщиков стала главным трендом у киберпреступников, оттеснив взломы банков на второй план.  

  • Миллиард долларов – только нижняя граница потерь бизнеса от кибервымогателей. Фактическая сумма гораздо выше, но оценить ее сложнее: многие компании скрывают, что заплатили вымогателям, или злоумышленники, вопреки угрозам, не выкладывают их данные в открытый доступ и, таким образом, не предают атаку огласке. 
  • Преступные группы переключились на Big Game Hunting – атаки на крупные компании, потому что технически это проще, чем взлом банков, а заработать можно не меньше.  
  • 60% атак шифровальщиков приходится на компании из США, 20% – на бизнес в Европе, около 10% – на Южную и Северную Америку (за исключением США) и 7% – на Азию. 
  • В топ-5 наиболее пострадавших отраслей входят производство (94 пострадавшие компании), ритейл (51), госучреждения (39), здравоохранение (38) и строительство (30).
  • Главными проблемными точками компаний стали уязвимое программное обеспечение в публичных сервисах, а также слабые пароли. 
  • Самыми опасными вирусами-шифровальщиками стали Maze и REvil – на их счету свыше 50% успешных атак. 
  • В даркнете количество выставленных на продажу доступов к данным компаний в 2020-м выросло в 2,6 раза и достигло 362 лотов. Число активных «продавцов» увеличилось с 50 до 63. 
  • Атаки с использованием шифровальщиков стали настолько популярными, что в открытом доступе появились сервисы ransomware-as-a-service, которые предоставляют все необходимое, чтобы атаковать выбранную организацию. 

Как работают группировки вымогателей 

С конца 2019-го киберпреступники стали использовать новый метод работы. Перед тем как зашифровать данные на серверах компании, хакеры копируют информацию на свои серверы. Если жертва не соглашается на выкуп, то теряет украденную информацию, которая затем может появиться в открытом доступе. 

  • Некоторые группировки проводят аукционы, где в качестве лотов выставляют данные, полученные незаконным путем. 
  • Потеря информации для некоторых компаний может обернуться простоем или полной остановкой работы. 

Какие риски создала пандемия  

  • Массовый перевод сотрудников на удаленную работу из-за коронавируса привел к росту числа финансовых мошенничеств и кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети работников компаний. Под ударом оказался прежде всего персонал финансовых организаций, телеком-операторов и IT‑компаний. 
  • Хакерские группировки активно искали способы проникновения в домашние компьютеры сотрудников, работающих удаленно, чтобы получить доступ в корпоративную сеть. Они использовали как программы-шифровальщики, так и программы-шпионы. 
  • Пользователи и компании все чаще стали сталкиваться с фишинговыми атаками. В 2020-м Group-IB обнаружила и заблокировала на 118% больше подобных ресурсов, чем в прошлом году. Трендом этого года стало использование одноразовых фишинговых ссылок, которые становились неактивными после первого открытия. 

Другие киберугрозы – 2020 

Активизация вирусов-шифровальщиков и взлом компьютеров сотрудников на удаленке – не единственные угрозы 2020 года. Как отметили эксперты Group-IB, на глобальном уровне киберпреступники активно используют DDoS-атаки, внедряются в системы жизнеобеспечения и проникают в сети стратегических объектов. 

  • Эксперты Group-IB отметили возросший интерес хакеров к атакам с разрушительными последствиями: взрыв и пожар на одном из ядерных объектов Ирана, отключение электричества в Индии, взлом систем очистки воды в Израиле и так далее. 
  • С мощными кибератаками столкнулись компании из телекоммуникационной сферы. Они стали мишенью для 6 хакерских группировок. Одна из компаний испытала на себе рекордную по мощности DDoS-атаку – 2,3 Тб/с. 
  • «На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране – 8 групп, в Северной Корее и России – по 4 группы, в Индии – 3 группы, в Пакистане и секторе Газа – по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране», – отмечает Group-IB. 
  • Наиболее пострадавшим от атак стал Азиатско-Тихоокеанский регион. 
  • Аналитики обнаружили 7 ранее неизвестных хакерских APT-группировок (они проводят целевые атаки). В их числе иранская Tortoiseshell, китайские Poison Carp и AVIVORE, южно-корейская Higaisa, Nuo Chong Lions из Саудовской Аравии, а также Chimera и WildPressure, принадлежность которых неизвестна. 

Защита бизнеса

На конференции CyberCrimeCon 2020 Group-IB представила новый продукт по защите данных от киберугроз – Threat Intelligence and Attribution (TI&A). 

  • Особенность этой системы – проактивная «охота» за угрозами и защита компании на основе данных об активности киберпреступников и методах их работы. 
  • Threat Intelligence and Attribution позволяет обнаружить утечку или найти инсайдера внутри организации. 
  • Еще одна возможность – выявлять и блокировать фишинговые ресурсы, которые используют имидж компании для кражи денег, в первую очередь через поддельные сайты с похожей графикой. 

Конференция CyberCrimeCon 2020

CyberCrimeCon 2020 проходит с 25 по 27 ноября. Конференцию проводят уже в седьмой раз, ее организует резидент «Сколково» компания Group-IB. Эксперты и руководители компаний обсуждают основные киберугрозы и способы борьбы с ними. В этом году из-за пандемии все выступления спикеров проходят в онлайн-формате.