Сегодня 03 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → вирус-вымогатель
Быстрый переход

Вирус-вымогатель LockBit стали распространять через уязвимость в ПО для удалённого доступа ConnectWise

Киберпреступники эксплуатируют две опасные уязвимости программы удалённого доступа ConnectWise ScreenConnect для развёртывания вируса-вымогателя LockBit. Это свидетельствует, что ресурсы одноимённой хакерской группировки продолжают работать, хотя бы и частично.

 Источник изображения: kalhh / pixabay.com

Источник изображения: kalhh / pixabay.com

Эксперты по кибербезопасности в компаниях Huntress и Sophos накануне доложили, что зафиксировали атаки LockBit, производимые через уязвимости популярной программы удалённого доступа ConnectWise ScreenConnect. Атаки осуществляются через две уязвимости. Ошибка CVE-2024-1709 относится к уязвимостям обхода аутентификации и считается «неприлично простой» в эксплуатации — она активно используется с минувшего вторника, то есть с того момента, как ConnectWise выпустила закрывающее её обновление программы и призвала клиентов установить его. Вторая ошибка за номером CVE-2024-1708 позволяет удалённо передать вредоносный код на уязвимую систему.

Эксперты подчёркивают, что, во-первых, уязвимости ScreenConnect активно эксплуатируются киберпреступниками на практике; во-вторых, несмотря на проведённую правоохранительными органами нескольких стран операцию, часть ресурсов группировки LockBit продолжает работать. В начале недели правоохранительные органы нескольких стран доложили о проведении крупномасштабной операции, в результате которой были отключены 34 сервера в Европе, Великобритании и США, конфискованы более 200 криптовалютных кошельков, а также арестованы двое предполагаемых участников LockBit в Польше и на Украине.

Обнаружившие новую волну атак эксперты заявили, что не могут отнести её к деятельности непосредственно LockBit, но группировка имеет большой охват и разветвлённую партнёрскую сеть, которую невозможно быстро уничтожить даже в рамках крупномасштабной международной операции. В компании ConnectWise заявили, что сейчас массовое внедрение вируса-вымогателя через программу не наблюдается. Но, по данным некоммерческой организации Shadowserver Foundation, занимающейся анализом вредоносной интернет-активности, уязвимости программы продолжают эксплуатироваться — накануне угроза исходила от 643 IP-адресов, а уязвимыми оставались более 8200 серверов.

Boeing подвергся хакерской атаке — безопасности полётов ничто не угрожает

Boeing сообщила о кибератаке на своё подразделение по дистрибуции и продаже запчастей. В компании не сообщили, кто стоял за инцидентом, но об этом сообщил сам его предполагаемый виновник — хакерская группировка LockBit, ответственная за распространение одноимённого вируса-вымогателя.

 Источник изображения: John McArthur / unsplash.com

Источник изображения: John McArthur / unsplash.com

«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по дистрибуции и продаже запчастей. <..> Мы уведомляем наших клиентов и поставщиков», — сообщил ресурсу The Register представитель Boeing. В компании добавили, что происшествие не повлияло на безопасность полётов; сейчас проводится расследование инцидента, а действия специалистов согласуются с властями. На момент написания материала раздел сайта Boeing, связанный с соответствующим подразделением «не работал в связи с техническими проблемами».

 Источник изображения: twitter.com/vxunderground

Источник изображения: twitter.com/vxunderground

В Boeing виновников кибератаки не назвали, но, похоже, хакеры сделали это сами: ответственность за инцидент взяла на себя группировка LockBit. Эксперты по кибербезопасности VX Underground в минувшие выходные опубликовали скриншот сайта LockBit — группировка включила компанию в список своих жертв и дала ей шесть дней на то, чтобы начать переговоры. В понедельник упоминание Boeing пропало с сайта LockBit, а представители группировки сообщили VX Underground, что переговоры начались. Официального пресс-релиза или уведомления Комиссии по ценным бумагам и биржам США (SEC) от компании пока не последовало.

По оценке Агентства кибербезопасности и защите инфраструктуры США (CISA), группировка LockBit в 2022 году была самым активным оператором вирусов-вымогателей. Это не просто «кучка ботаников в подвале», утверждает VX Underground, — в группировке действует строгая административная иерархия. Хакеры занимаются продвижением собственного бренда: в частности, платят блогерам за татуировки с логотипом LockBit; и не стесняются брать на себя ответственность за киберинциденты, хотя к их заявлениям рекомендуется относиться скептически. В период с начала 2020 года по середину 2023-го группировка «заработала», по некоторым оценкам, более $90 млн, а среди её жертв значатся TSMC и SpaceX.

Полиция поймала главаря хакерской банды Ragnar Locker, которая взломала Capcom и Adata

В рамках совместной операции правоохранительные органы нескольких стран арестовали разработчика вируса-вымогателя Ragnar Locker и отключили сайты в даркнете, принадлежащие группировке, которая была связана с этим вредоносным ПО. С 2020 года, по версии следствия, группировка осуществила кибератаки на 168 международных компаний по всему миру.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Разработчика вируса арестовали 16 октября в Париже, а в его доме в Чехии провели обыск. В последующие дни были допрошены пятеро подозреваемых в Испании и Латвии. В конце недели разработчик предстал перед судом в Париже. Обыск был проведён в доме ещё одного предполагаемого члена группировки в Киеве — у него конфисковали ноутбуки, мобильные телефоны и другие электронные устройства.

Дело по запросу французских властей Евроюст возбудил в мае 2021 года. Ведомство провело пять координационных встреч для содействия участвующим в расследовании органам. Это уже третья операция против данной банды вымогателей — на сей раз в ней участвовали правоохранительные органы Франции, Чехии, Германии, Италии, Латвии, Нидерландов, Испании, Швеции, Японии, Канады и США.

В сентябре 2021 года на Украине были арестованы двое подозреваемых благодаря скоординированным усилиям властей Канады, США и Украины. В октябре 2022 года в Канаде был задержан ещё один подозреваемый — в операции участвовали сотрудники правоохранительных органов Канады, США и Франции. В ходе последней операции были изъяты криптоактивы подозреваемых и закрыты сайты в даркнете.

В отличие от многих современных группировок, работающих по модели Ransomware-as-a-Service, группировка Ragnar Locker действовала преимущественно собственными силами, привлекая внешних тестировщиков для взлома корпоративных сетей. Среди жертв оказались производитель комплектующих Adata, авиационный гигант Dassault Falcon и японский разработчик игр Capcom. Кроме того, с апреля 2020 года вирус-вымогатель обозначился в сетях как минимум 52 организаций в различных сетях критической инфраструктуры США, сообщило ФБР.

Россию атаковали вирусы-вымогатели, которые не трогают компьютеры на персидском

В России активизировались вирусы-вымогатели LokiLocker и BlackBit, сообщает РБК со ссылкой на информацию от экспертов Лаборатории цифровой криминалистики компании F.A.C.C.T. (бывшая Group-IB). Эти вирусы не наносят ущерба компьютерам с интерфейсом на персидском языке (фарси).

 Источник изображения: Pixabay

Источник изображения: Pixabay

Первые атаки вируса LokiLocker были отмечены в странах Ближнего Востока, но происхождение вредоноса до сих пор остаётся неизвестным. В России параллельно с LokiLocker развернул деятельность его «близнец» BlackBit. Оба вируса шифруют файлы на машине и требуют выкуп в размере от $10 тыс. до $100 тыс. — киберпреступники предлагают выйти на связь через электронную почту или Telegram. Если через 30 дней выкуп не выплачивается, вымогатель удаляет с компьютера все файлы. При этом шифрование файлов не производится, если основным языком интерфейса на компьютере жертвы выбран фарси — персидский язык.

Вирусы LokiLocker и BlackBit с апреля 2022 года атаковали ресурсы не менее 62 компаний по всему миру, и 21 из них оказалась в России. Больше всех пострадали представители малого и среднего бизнеса, работающие в сферах строительства, туризма и розничной торговли. Эксперты расходятся во мнениях относительно происхождения вирусов: одни предполагают, что атаки осуществляются «под чужим флагом», чтобы запутать следы; другие же склонны считать, что кампанию организовали международные группировки киберпреступников, хотя первые версии вирусов и были созданы носителями персидского языка.

Представлен SSD с аппаратной защитой от вирусов-вымогателей — она мгновенно блокирует SSD

Специализирующаяся на вопросах кибербезопасности компания Cigent Technology готовится выпустить линейку твердотельных накопителей, один из которых, Cigent Secure SSD+, получит аппаратную защиту от вирусов-вымогателей.

 Источник изображения: cigent.com

Источник изображения: cigent.com

SSD получит дополнительный микроконтроллер безопасности, подключенный к основному контроллеру SSD от Phison. При помощи алгоритмов искусственного интеллекта этот компонент анализирует проходящие через SSD-контроллер данные на предмет признаков активности вирусов-вымогателей. Обнаружив такую активность, дополнительный чип блокирует накопитель и для доступа к файлам требует прохождения многофакторной аутентификации.

Процесс сканирования не влияет на скорость работы SSD, утверждает производитель, потому что микроконтроллер подключён к основному контроллеру, а не каналу данных. Технология работает небезупречно, признают в Cigent и даже допускают, что вирус может успеть зашифровать некоторые файлы до блокировки накопителя. Вероятны и некоторые сбои в работе алгоритмов машинного обучения, и если число ложных срабатываний окажется слишком высоким, сохраняется возможность динамически настроить чувствительность алгоритмов.

С другой стороны, предлагаемый метод защиты представляется производителю более эффективным, чем существующие решения, которые срабатывают уже после начала атаки, а не сразу. На начальном этапе Cigent Secure SSD+ сможет работать только как системный диск для Windows — поддержку Linux обещают реализовать в ближайшей перспективе. В продажу NVMe SSD поступит в мае, и он будет доступен в версиях на 480, 960 и 1920 Гбайт.

Печально известный вирус-вымогатель LockBit начали портировать на macOS

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

 Источник изображения: apple.com

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

Число атак вирусов-вымогателей на промышленные предприятия в 2022 году выросло на 87 %

Количество атак вирусов-вымогателей на промышленные предприятия в 2022 году увеличилось на 87 % в сравнении с предыдущим годом. Большинство вредоносных программ при этом атаковало производственный сектор, сообщает Bloomberg со ссылкой на доклад экспертов по кибербезопасности в компании Dragos.

 Источник изображения: Fotis Fotopoulos / unsplash.com

Источник изображения: Fotis Fotopoulos / unsplash.com

Чаще всего киберпреступники нападали на ресурсы горнодобывающих компаний Австралии и Новой Зеландии, а также американские и европейские компании, специализирующиеся на возобновляемых источниках энергии. Усилились атаки на секторы энергетики, продовольствия, водоснабжения, электроснабжения и природного газа. Одной программы-вымогателя, говорится в докладе, оказывается достаточно, чтобы нарушить работу десятков тысяч систем, помогающих в управлении инженерными сетями по всему миру.

Угрозы для энергетического сектора и критических объектов инфраструктуры выросли после начала украинских событий в феврале 2022 года, хотя общий объём атак оказался меньше ожидаемого. Для предотвращения крупномасштабных инцидентов компаниям рекомендовали разработать эффективные планы реагирования, а также подготовить инструменты мониторинга инфраструктуры и безопасного доступа к системам, в том числе средства двухфакторной авторизации.

Несмотря на рост числа инцидентов, связанных с вирусами-вымогателями, в 2022 году их жертвы намного реже платили выкуп: $456,8 млн по сравнению с $765,5 млн в 2021 году, посчитали недавно в Chainalysis.

Хакеры взломали тысячи серверов, используя уязвимость двухлетней давности

В минувшие выходные несколько тысяч вычислительных систем по всему миру были взломаны и заблокированы с помощью трояна-вымогателя ESXiArgs, широкое распространение которого стало возможным благодаря уязвимости в серверном программном обеспечении VMware двухлетней давности, сообщил ресурс Bloomberg.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно данным поисковой системы Censys, на которые ссылается ресурс Bleeping Computer, в результате взлома было скомпрометировано более 3200 серверов VMware по всему миру. Больше всего пострадали от вируса-вымогателя компьютерные системы во Франции, за которой следуют США, Германия, Канада и Великобритания.

Представитель VMware Дорин Руяк (Doreen Ruyak) сообщила ресурсу TechCrunch, что вариант программы-вымогателя, получивший название ESXiArgs, «по-видимому, использует уязвимость, идентифицированную как CVE-2021-21974». Она отметила, что исправления для этой уязвимости «были доступны клиентам два года назад в рекомендациях по безопасности VMware от 23 февраля 2021 года».

«Гигиена безопасности является ключевым компонентом предотвращения атак программ-вымогателей, и организации, которые используют версии ESXi, затронутые CVE-2021-21974, и еще не применили исправление, должны принять меры, как указано в бюллетене», — добавила Дорин Руяк.

Заражённые машины представляют собой небольшую часть из более чем 66 000 подключённых к интернету серверов, которые могут стать потенциальными целями, отметил Патрис Оффре (Patrice Auffret), основатель и гендиректор французской фирмы по кибербезопасности Onyphe SAS.

По словам экспертов по безопасности, остаётся неясным, есть ли связь этой кампании с атакой программы-вымогателя на сети британской фирмы ION Trading UK, застопорившей на прошлой неделе торговлю деривативами по всему миру и совершённой печально известной хакерской группировкой LockBit.

Британская Королевская почта заявила, что кибератака на её компьютерные сети не привела к утечке данных

Британская Королевская почта, подвергшаяся на прошлой неделе кибер-атаке, из-за чего была временно прекращена отправка посылок и писем за пределы страны, утверждает, что личные данные её клиентов при взломе не были скомпрометированы.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Гендиректор Royal Mail Саймон Томпсон (Simon Thompson) заявил во вторник на заседании Палаты общин британского парламента, что, согласно проведённому расследованию, утечки данных не произошло, хотя Управление Комиссара по информации Великобритании, которое регулирует вопросы конфиденциальности данных, было проинформировано о происшедшем инциденте.

«Если эта ситуация изменится, то мы, конечно, немедленно сообщим об этом клиентам и властям», — сказал Томпсон членам парламента. Он добавил, что компанию предупредили о том, что обсуждение даже незначительных или дополнительных деталей, касающихся инцидента, может нанести вред расследованию.

По словам Томпсона в ближайшее время следует ждать новостей по этому поводу, что предполагает появление возможности возобновления международных почтовых отправлений.

Как утверждает Bloomberg со ссылкой на информированные источники, за кибератакой на Королевскую почту стоит хакерская группировка LockBit, которая, используя вирус-вымогатель, блокирует работу компьютерных сетей, и требует за их разблокировку выкуп.

Вирус-вымогатель парализовал работу Королевской почты Великобритании — в атаке обвинили российских хакеров

В результате атаки вируса-вымогателя семейства Lockbit Королевская почта Великобритании временно лишилась возможности обрабатывать международные отправления — в подвешенном состоянии оказались более полумиллиона посылок и писем. По версии следствия, в инциденте виновны российские хакеры, передаёт Telegraph.

 Источник изображения: Mikhail Fesenko / unsplash.com

Источник изображения: Mikhail Fesenko / unsplash.com

Вирус-вымогатель с сигнатурой Lockbit зашифровал файлы на компьютерах в инфраструктуре Королевской почты и вывел на их экраны сообщение с требованием выкупа за расшифровку файлов. При атаке был использован подвид вредоноса Lockbit Black — он заразил машины, используемые почтовым оператором для печати таможенных этикеток на отправляемой за границу корреспонденции, сообщили знакомые с ходом расследования источники. Злоумышленники также пригрозили опубликовать похищенные с компьютеров данные на сайте в даркнете.

Сообщение с требованием уплаты выкупа не только демонстрируется на мониторах заражённых машин, но и выводится на печать — это было замечено как минимум в одном распределительном центре, расположенном в североирландском городе Малласк близ столицы региона Белфаста. Расследование инцидента проводит Национальное агентство по борьбе с преступностью Великобритании (NCA), а в борьбе с его последствиями Королевской почте помогает Национальный центр кибербезопасности.

Хакерская группировка вымогает деньги у властей маленького канадского городка

IT-инфраструктура небольшого канадского городка Сейнт-Мэрис (провинция Онтарио) с населением 7500 человек подверглась атаке хакерской группировки LockBit. Заблокированы крупнейшие узлы городских систем — продолжают работать только базовые службы, такие как очистка воды и транспорт.

 Источник изображения: discoverstmarys.ca

Источник изображения: discoverstmarys.ca

22 июля на сайте группировки LockBit в даркнете появились сведения о взломе официального сайта города, и в качестве подтверждения была опубликована часть скопированных и зашифрованных файлов. Мэр Сейнт-Мэриса Эл Стратди (Al Strathdee) сообщил по телефону журналистам The Verge, что для преодоления проблемы власти города обратились к группе экспертов, которые выявили причину и подготовили план дальнейших действий.

Он подтвердил, что после того, как часть городских систем оказалась заблокированной, мэрия получила от LockBit требование о выкупе, однако деньги пока выплачены не были. Канадское правительство не одобряет выплат выкупов кибервымогателям, но в Сейнт-Мэрисе делегировали принятие окончательного решения рабочей группе по инциденту.

На сайте LockBit опубликованы скриншоты с папками, соответствующими направлениям деятельности городских властей: финансы, здравоохранение и безопасность, очистка сточных вод, данные о собственности и общественные работы. Обычно группировка даёт жертвам время на размышление и при невыплате выкупа публикует похищенную информацию в интернете. Нанятые городом специалисты пытаются восстановить повреждённые данные из резервных копий.

Только в июне 2022 года хакеры LockBit взяли на себя ответственность за 50 инцидентов, связанных с вирусами-вымогателями, пишет Recorded Future. А канадский Сейнт-Мэрис оказался вторым городом, ставшим заложником киберпреступников чуть более чем за неделю: 14 июля аналогичной атаке подвергся городок Фредерик (население 15 000 человек) в американском штате Колорадо — негодяи потребовали $200 000.

Обнаружен вирус-вымогатель GoodWill, который требует от жертв добрых дел, а не денег

Эксперты по кибербезопасности CloudSEK рассказали о хакерской группировке GoodWill, которая распространяет вирус-вымогатель, но для расшифровки данных требует у жертвы не денежного выкупа, а добрых дел. К примеру, пожертвовать бездомным одеяла, накормить голодающих детей фастфудом или оплатить лечение неимущему, зафиксировать всё это на фото и видео, чтобы потом разместить их в соцсетях.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

По версии экспертов, операторы вымогателя работают из Индии — на это указывают их электронные письма и приписанные к Мумбаи IP-адреса, к которым обращается вирус. Кроме того, в одной из строк кода обнаружена запись на «хинглише» — смеси хинди и английского языка. Вредонос написан на фреймворке .NET, сжат упаковщиком исполняемых файлов UPX, а данные на заражённых Windows-машинах шифруются на основе алгоритма AES.

После заражения ПК жертвы вирус GoodWill шифрует на нем файлы различных форматов и предлагает для их расшифровки совершить три добрых дела: подарить одежду или одеяла «нуждающимся на дороге», отвести пятерых бедных детей в заведение фастфуда, а также посетить ближайшую больницу и оплатить лечение человеку, которые не в состоянии сделать этого самостоятельно.

Первые две акции необходимо задокументировать в соцсетях, используя предлагаемую хакерами рамку для фото, а по последней сделать с объектом помощи селфи и вместе с аудиозаписью разговора с этим человеком отправить его операторам вируса-вымогателя. Выполнив три этих добрых дела, необходимо написать и разместить в соцсети статью на тему «Как ты стал добрым человеком, оказавшись жертвой вируса-вымогателя GoodWill». После этого хакеры якобы высылают инструмент для расшифровки данных.

Эксперты обнаружили связь GoodWill с образцом экспериментального вредоноса HiddenTear, который разработал и в целях защиты безопасности разместил на GitHub некий турецкий программист. Как сообщили CloudSEK, 91 из 1246 строк кода GoodWill совпадает с образцом HiddenTear.

Число атак вирусов-вымогателей на российские компании утроилось

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

В 2021 году операторы вирусов-вымогателей установили несколько «рекордов»

Подразделение анализа угроз Unit 42 специализирующейся на вопросах информационной безопасности компании Palo Alto Networks опубликовало доклад, согласно которому сегмент вирусов-вымогателей по итогам прошлого года значительно вырос.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

По информации Unit 42, атакам вирусов-вымогателей подверглось рекордное число компаний, увеличилось и количество организаций, согласившихся заплатить киберпреступникам выкуп за расшифровку данных. Поставить новые рекорды злоумышленникам помогла новая практика публикации в даркнете «сайтов с утечками» — даже часть выложенных в открытый доступ данных оказывает на жертв вымогательства дополнительное давление, вынуждая их заплатить.

Основываясь на кейсах прошлого года, аналитики Unit 42 подсчитали, что средний размер запрашиваемого киберпреступниками выкупа вырос на 144 % и достиг $2,2 млн, а средний размер фактического платежа вырос на 78 % и составил $540 тыс. Наиболее пострадавшими от вирусов-вымогателей отраслями стали юриспруденция, строительство, оптовая и розничная торговля, здравоохранение, а также производственная сфера.

Самой активной за минувший год стала хакерская группировка Conti — на её долю пришлось в среднем более одного из пяти инцидентов, с которыми работали консультанты Unit 42. Второе место заняла нейтрализованная ФСБ группировка Revil с 7,1 % инцидентов, а третье поделили между собой Hello Kitty и Phobos, чьи «бренды» всплывали в 4,8 % случаев.

Группировка Conti разместила на своём сайте с утечками данные по 511 организациям, и это тоже рекордный показатель. Кроме того, за минувший год появились 35 новых группировок, которые специализируются на вирусах-вымогателях. Часть доходов от незаконной деятельности злоумышленники направляли на разработку новых, более простых в использовании инструментов кибератак, и всё чаще использовались уязвимости нулевого дня.

Резко возросла в вымогательских схемах роль сайтов с утечками, оказывающих на жертв дополнительное психологическое давление — на них были опубликованы данные по 2566 организациям. 60 % жертв находились в Америке, 31 % — в Европе, на Ближнем Востоке и в Африке, а ещё 9 % — в Азиатско-Тихоокеанском регионе.


window-new
Soft
Hard
Тренды 🔥
На Apple подали в суд за слишком дорогой iCloud и монополизацию облачных хранилищ для iOS 3 мин.
Новая статья: «Санёк» — музей невинности. Рецензия 12 ч.
Новая статья: Gamesblender № 663: сокращения в Sony, ремейки Age of Mythology и Sublustrum, отмена шутера по Star Wars и рекорд Balatro 12 ч.
Новое исследование показало, что ИИ не угрожает рабочим местам из-за высокой стоимости внедрения 14 ч.
Microsoft запустит ИИ-помощника Copilot для OneDrive в конце апреля 16 ч.
Появился сетевой червь, работающий через сервисы ИИ — он размножается, рассылает спам и похищает данные 19 ч.
В Windows 11 появилась поддержка USB 4 2.0 со скоростью передачи данных до 80 Гбит/с 19 ч.
Российские ноутбуки «СИЛА» будут поставляться с предустановленной ОС Uncom OS 22 ч.
Spotify, Epic Games и другие попросили Еврокомиссию проверить, законна ли новая политика App Store 23 ч.
Apple передумала лишать iOS 17.4 поддержки веб-приложений в ЕС 23 ч.