Вымогатели шантажируют жертв раскрытием данных

03.11.2023
Эксперты Positive Technologies представили исследование актуальных киберугроз за III квартал 2023 года.

С приходом дешифраторов уменьшается доля шифровальщиков, так как последние утрачивают свою эффективность. Теперь вымогатели угрожают раскрытием украденной информации без шифрования скомпрометированных систем и данных. Эксперты фиксируют новые необычные методы социальной инженерии и приемы операторов вымогателей.

По данным анализа, в III квартале 2023 года наблюдается незначительное снижение общего количества киберинцидентов по сравнению с предыдущим кварталом. Одним из ведущих методов атак на организации остается эксплуатация уязвимостей (37% всех инцидентов). Злоумышленники продолжают активно использовать недостатки популярных IT-решений в преступных целях.

В III квартале доля атак с использованием ВПО осталась на уровне прошлого квартала и составила 45%. На протяжении всего квартала вымогатели продолжали требовать выкуп за неразглашение информации, в ряде атак отказываясь от шифрования систем.

«Шифровальщики все еще остаются наиболее часто используемым типом вредоносного ПО в атаках на организации, однако их доля уменьшилась на 6 п. п. относительно предыдущего квартала, — говорит Алексей Новиков, директор экспертного центра кибербезопасности Positive Technologies. — По нашему мнению, на снижение эффективности шифровальщиков повлияло распространение дешифраторов, а также постепенный переход вымогателей к шантажу раскрытием украденной информации без шифрования скомпрометированных систем и данных. В некоторых случаях при отказе организации платить выкуп злоумышленники напрямую связываются с жертвами — клиентами пострадавших организаций, предлагая им возможность заплатить за удаление своих данных. Еще одной интересной тенденцией стал „двойной листинг“, когда об атаке на одну и ту же организацию заявляют сразу две группировки вымогателей, требуя выкуп».

Алексей Новиков также обратил внимание на уникальный прием, которым пользуется группировка Ransomed.vc. Позиционируя свою вредоносную деятельность как «услугу тестирования на проникновение», злоумышленники активно используют правовой режим Общего регламента ЕС по защите данных (GDPR): в случае если жертва не платит требуемый выкуп, Ransomed.vc публикует украденную информацию, что приводит к штрафу для организации. Эксперт назвал этот прием «шантаж в законе».

По данным Positive Technologies, в III квартале выросла доля атак с использованием шпионского ПО в атаках на частных лиц (65%). В успешных атаках на организации доля случаев заражения шпионским ПО остается на прежнем уровне (20%). Больше половины заражений организаций различными типами вредоносов происходило с помощью электронной почты (57%). Основным способом распространения ВПО среди частных лиц остались сайты (49%), доля которых увеличилась на 9 п. п. относительно II квартала.

Для защиты устройств от заражения эксперты рекомендуют использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб компании. Для защиты от шифрования рекомендуется не пренебрегать резервным копированием.

Социальная инженерия остается главной угрозой для частных лиц (92%) и одной из главных — для организаций (37%). Злоумышленники продолжали эксплуатировать для фишинга темы трудоустройства, политических событий и быстрого заработка, в том числе с помощью криптовалют, а также маскировались под службы доставки.

Эксперты Positive Technologies отмечают, что методы социальной инженерии постоянно эволюционируют. Для внушения жертве ложного чувства безопасности злоумышленники применяли изощренные тактики. Мошенники использовали модульные инструменты для создания убедительных фишинговых сайтов и переписок, а также проводили многоэтапные атаки: добивались преступной цели за несколько шагов, сочетая различные методы обмана. В ряде атак киберпреступники использовали скомпрометированные IT-системы компаний для атак на их клиентов и партнеров, как в случае с атакой на отели, размещенные на Booking.com. В Positive Technologies прогнозируют рост атак с использованием нейросетей, постепенно пополняющих арсенал злоумышленников.

Эксперты рекомендуют оставаться бдительными в сети, не переходить по подозрительным ссылкам и не скачивать вложения из непроверенных источников. С подозрением стоит относиться к срочным требованиям, слишком выгодным предложениям.

Результатом успешных атак чаще всего становилась утечка данных (56% в успешных атаках на организации и 61% — на частных лиц). В атаках на частных лиц вторыми по распространенности последствиями стали прямые финансовые потери (35%). Нарушение основной деятельности вновь стало вторым по частотности результатом успешных атак на организации (36%), однако его доля снизилась на 8 п. п. относительно II квартала в связи со спадом применения шифрования при вымогательстве. Тем не менее эксперты рекомендуют не сбрасывать атаки шифровальщиков со счетов, поскольку они вызывают, как правило, серьезные последствия, как в случае с атакой на правительственные учреждения Шри-Ланки, в результате которой была утрачена электронная корреспонденция за три с небольшим месяца.

Читайте также
IT-World рассказывает о принципах работы интеллектуальных систем учета электроэнергии, о СИГМА.ИВК - комплексе на базе импортозамещенных цифровых решений. Как работает СИГМА.ИВК, где применяется? Узнаем планы разработчиков комплекса.

Похожие статьи