Ransomware как бизнес

Страсти по Ransomware не утихают: согласно данным исследования SonicWall Cyber Threat Report, за первую половину 2021 года зафиксировано рекордное число атак вымогательского ПО – 304,7 миллиона атак. Их рост по сравнению с общим показателем прошлого года составляет уже 151%.


Хотя многие компании уже организовали процедуры регулярного резервного копирования и атака шифровальщика сама по себе не становится фатальной, группировки вымогателей продолжают стремительно обогащаться. В силу вступают механизмы двойных вымогательств, связанные с кражей и публикацией данных и других типов шантажа. К сожалению, после выплаты выкупа организация становится еще более привлекательной целью, и нередки случаи повторных атак на уже расплатившихся жертв теми же или новыми группировками.

Ransomware – это такой же бизнес, подчиняющийся законам рынка, пусть и теневого, следует из опубликованного интервью участника группировки BlackMatter. Она в определенном смысле заняла нишу отошедших от деятельности вымогателей REvil и Darkside. Судя по сообщениям о поиске доступов к взломанным инфраструктурам, BlackMatter нацелены в первую очередь на крупные компании. И за эксклюзивные доступы готовы отдать до 100 тысяч долларов США. Но и средним компаниям не стоит расслабляться, особенно учитывая тот факт, что доступ к инфраструктуре на теневом рынке может стоит менее 10 тысяч долларов США, а BlackMatter работает также по схеме Ransomware-as-a-Service. Таким образом, можно сделать вывод о выгодности атак, особенно в условиях освободившейся ниши и роста рыночного спроса на эту услугу.

Также BlackMatter уже запустила собственный сайт для публикации утечек и взяла в арсенал некоторые техники своих предшественников: используются права доменного администратора для шифрования (подобно DarkSide) и разнообразные сборки вымогательского ПО, в том числе:

  • для Windows, через SafeMode и PowerShell, как продолжение возможностей REvil;

  • для Linux Ubuntu, Debian, CentOS; 

  • для VMWare ESXi 5+; 

  • для сетевых хранилищ (NAS), в том числе Synology, OpenMediaVault, FreeNAS и TrueNAS. 

По словам участника группировки, разработка первого продукта заняла у BlackMatter 6 месяцев. При этом они использовали понравившиеся наработки LockBit, REvil и DarkSide в своем продукте. По некоторым сведениям, часть разработчиков откололась именно от группировки DarkSide, подобно возникающим из крупных ИТ-компаний стартапам. Между тем, группировка активно набирает пентестеров, причем среднего и высокого уровней. Целью группировки является долгосрочное функционирование, поэтому они активно занимаются развитием продукта и заявляют о намерении выполнять геополитические договоренности о запрете на атаки определенных категорий организации, относящихся к медицинским и к субъектам КИИ.


В складывающейся ситуации экспертам ИБ следует в первую очередь помнить о векторах атак и, в частности, не закрытых уязвимостях. И в данном случае будет полезен совместный отчет агентств кибербезопасности Австралии, США и Великобритании о наиболее эксплуатируемых в 2020-2021 годах уязвимостях. Для текущего года они таковы:

  • Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065; 

  • Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900;

  • Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104;

  • VMware: CVE-2021-21985. 

«По сравнению с прошлым годом большинство уязвимостей являются относительно новыми и связаны со средствами удаленной работы (VPN, публикации ПО и т.д.). Это говорит о том, что оперативность по устранению старых уязвимостей в организациях уже достаточно наладилась и злоумышленники переформатировались под новый ландшафт  ИТ», – полагает менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.

Помимо работы с уязвимостями, для всесторонней защиты инфраструктуры и снижения рисков информационной безопасности эксперты группы компаний Angara предлагают комплекс услуг по борьбе со сложными и таргетированными атаками. Он включает:

  • Защиту пользователей от сложных и неизвестных угроз – многоступенчатую систему аналитики, агенты которой располагаются на разных уровнях инфраструктуры, от периметра до конечных узлов. Эксперты группы компаний Angara спроектируют наиболее эффективную архитектуру системы защиты для вашей инфраструктуры, включая средства изолированного анализа файлов Sandbox, схему направления внешнего трафика на систему защиты и расширенную защиту рабочих станций EDR.

  • Управление уязвимостями. Анализ защищенности – это непрерывный процесс, который требует как периодического сканирования систем, так и контроля за устранением обнаруженных уязвимостей, своевременной установкой программных коррекций и приведением настроек ПО и ОС в безопасное состояние. Эксперты группы компаний Angara реализуют любой из этапов работ по управлению уязвимостями, а также помогут выстроить процесс управления уязвимостями в непрерывном исполнении.

  • Детектирование злоумышленника внутри сети средствами ловушек. Системы класса Deception создают реалистичный набор целей для злоумышленника, не связанный с реальной инфраструктурой. Эксперты группы компаний Angara работают с лучшими представителями данного класса решений и создадут на их базе беспрецедентный эшелон защиты вашей инфраструктуры от целевых атак.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах