Топ 5 хакерских организаций
Последние 5 лет могли незаметно пролететь для большинства из нас, но не для прогресса кибергруппировок-вымогателей, которые преуспели в своих навыках и атакуют все больше целей.
За 5 лет развития технологий, зловреды-шифровалищики эволюционировали из угрозы персональным компьютерам в серьезную опасность для корпоративных сетей. Переключился приоритет злоумышленников с «количества» на «качество». Атаки на коммерческие организации и государственные структуры приносят больше дохода, чем массовые заражения домашних пользователей. С 2019 года эксперты Лаборатории Касперского наблюдают регулярные кампании целой серии таргетированных шифровальщиков. Их операторы публикуют статистику на своих ресурсах. Мы использовали эти данные для составления рейтинга самых активных кибергруппировок.
1. Maze (ChaCha)
Зловред Maze уже рассматривался в наших статьях, но сегодня на него уделено особое внимание. Из общего числа жертв более трети приходится на данный шифровальщик. Ключевая особенность вируса – предварительная кража данных, а только потом шифрование. Делается это для того, чтобы операторам было проще предоставить информацию жертве, подтверждающую наличие таковой, и дальнейшего шантажа.
В 2019 году злоумышленники Maze связались с редакцией Bleeping Computer, рассказав о взломе компании Allied Universal и в качестве доказательств предоставили несколько украденных файлов. В ходе переписки они угрожали разослать спам с серверов Allied Universal, а позднее опубликовали конфиденциальные данные взломанной компании на форуме Bleeping Computer.
В 2020 году группировка прекратила свою деятельность. К тому времени от их рук пострадали несколько международных организаций, государственный банк одной из стран Латинской Америки, информационная система одного из городов США. В каждом случае хакеры требовали суммы в несколько миллионов долларов.
2. Conti (IOCP ransomware)
Данный зловред появился в конце 2019 года и был весьма активен весь следующий год: более 13% жертв от общих заражений программами вымогателями.
Интересная деталь в атаках Conti — злоумышленники предлагают своим жертвам помощь с укреплением безопасности, если компания согласится заплатить выкуп. «Вы получите инструкции, как залатать дыры в защите. Мы также порекомендуем вам специальное ПО, которое доставляет взломщикам наибольшие проблемы», — заверяют преступники.
Как и в случае Maze, вымогатели не только шифровали, но и сохраняли себе копию файлов из взломанных систем. Затем преступники угрожали опубликовать всю добытую информацию в Интернете, если жертва не выполнит их требования. Среди самых громких атак Conti — взлом школы в США, после которого у администрации потребовали $40 миллионов. Представители учреждения отметили, что были готовы заплатить $500 тысяч, но, когда услышали сумму в 80 раз больше, отказались от переговоров.
3. REvil
Свое внимание зловред привлек в начале 2019 года техническими особенностями – например, он использует легитимные функции процессора, для обхода защитных систем. Кроме того, в его коде были характерные признаки того, что вымогатель создавался для сдачи в аренду.
Общий объем от общего числа заражений составляет 11%. Зловред оставил свой след в 20 отраслях бизнеса. Наибольший интерес акцентировался на промышленные предприятия, за ними идут финансовые организации. Но самое громкие атаки прошли по IT-сфере, в 2019 году преступники взломали несколько провайдером и установили Sodinokibi части их клиентов.
REvil, на данный момент, держит рекорд по запрашиваемому выкупу – в марте 2021 хакеры требовали у корпорации Acer 50 миллионов долларов.
4. Netwalker (Mailtoransomware)
Из общего числа жертв, более 10% приходится на Netwalker. Среди целей вымогателей: логистические, промышленные, энергетические, - компании. Всего за несколько месяцев 2020 года доход хакеров превысил 25 миллионов долларов.
Создатели вируса-шифровальщика, видимо, были вдохновлены рассказами о Робин Гуде, но переиграв мысль «грабь богатых – отдавай бедным» на новый лад. Они предлагали мошенникам-одиночкам взять Netwalker в аренду и в случае успешной атаки получить солидную часть прибыли, а именно до 79% от выкупа, хотя обычно исполнители в подобных схемах получают гораздо меньше.
В подтверждение серьезности своих намерений преступники публиковали скриншоты крупных денежных переводов. Чтобы максимально упростить аренду шифровальщика, они создали сайт, который автоматически публиковал похищенные данные по истечении срока, отведенного на внесение выкупа.
В январе 2021 года правоохранительные органы взяли под контроль инфраструктуру Netwalker и предъявили обвинение гражданину Канады Себастьяну Вашон-Дежардену. По мнению следствия, именно этот человек получал деньги за поиск жертв и распространение шифровалищика на их устройствах. После чего активность преступной группировки сошла на нет.
5. DoppelPaymer
Последнее, но не менее значимое, место занимает вымогатель DoppelPaymer. Его жертвы составляют около 9% в общей статистике. Среди коммерческих организаций от DoppelPaymer пострадали производители электроники и автомобилей, крупная нефтяная компания из Латинской Америки. От DoppelPaymer часто страдают и государственные организации по всему миру, включая образование и здравоохранение. Группировка также попадала в новости после публикации результатов выборов в Джорджии (США) и получения выкупа в $500 тысяч от округа Пенсильвания (США). Атаки DoppelPaymer продолжаются и сейчас — в феврале о взломе объявила одна из европейских научных организаций.
Как защититься
Важно осознавать, что выполнение требований мошенников не гарантирует 100% решение проблемы. Вы полагаетесь на честное слово тех, кто только что вас ограбил. Подробнее о действиях при зашифровке вашим устройств читайте в наших статьях:
- Объясните своим сотрудникам/коллегам суть угрозы, а в идеале научите распознавать действия злоумышленников;
- Используйте современные антивирусные решения, например, Kaspersky Endpoint Security для бизнеса.
- Следите за обновлениями используемых в организации ПО. Это очень важно, ведь через слабые места в устаревших версиях чаще всего проникают злоумышленники.
