Программы-вымогатели стали одной из главных киберугроз в 2023 году. Специалисты из NSHC провели анализ атак и выявили множество интересных тенденций и особенностей.
В течение года было зафиксировано 304 случая атак, при этом пик пришелся на февраль и ноябрь. В феврале количество атак увеличилось из-за выявленных в начале года уязвимостей, которыми поспешили воспользоваться злоумышленники. В ноябре атаки активизировались в преддверии “черной пятницы”, когда предприятия становятся особенно уязвимыми из-за увеличенного объема операций.
Анализ показал, что за атаками стоят как киберпреступные группировки, так и поддерживаемые государством APT-группы. Наибольшее число атак зафиксировано со стороны киберпреступников, использующих модель RaaS (Ransomware-as-a-Service), которая упрощает создание и распространение вымогательского ПО.
Хакеры чаще всего атаковали США и страны Европы. Основными жертвами становились крупные корпорации и организации, которые могут выплатить выкуп. Особенно часто подвергались атакам предприятия производственного сектора и финансовые организации. В производстве атаки приводят к остановке работы заводов и серьезным финансовым потерям, что делает компании склонными к выплате выкупа. Финансовый сектор привлекателен для злоумышленников из-за большого количества обрабатываемых данных и высокой вероятности получения выкупа.
Наиболее часто атакам подвергались системы на базе Windows, затем Linux и macOS, причем большинство атак было направлено на Windows, установленную на компьютерах сотрудников. Атаки на Linux часто были направлены на серверы, что могло вызвать серьёзные сбои в работе компаний.
Для проникновения в системы хакеры использовали уязвимости и open source. В первом полугодии популярными методами были эксплуатация публичных приложений и использование скомпрометированных учетных записей. Во втором полугодии добавились атаки через удаленные сервисы.
Злоумышленники активно использовали уязвимости в программном обеспечении для проникновения в системы. Наиболее популярными оказались CVE-2021-21974 (оценка CVSS: 8.8) в VMware ESXi, CVE-2023-27350 (оценка CVSS: 9.8) в PaperCut и CVE-2021-27876 (оценка CVSS: 8.1) в Veritas Backup Exec. Ошибки позволяли удаленно выполнять код или получать несанкционированный доступ к данным.
Для распространения и управления атаками хакеры активно использовали открытые и бесплатные инструменты. Среди наиболее популярных оказались программы для удаленного доступа AnyDesk и PuTTY, а также инструмент для сбора учетных данных Mimikatz. Весьма популярным среди злоумышленников стал инструмент Cobalt Strike, который используется для тестирования на проникновение, но также отлично подходит для управления вредоносным ПО.
Киберпреступники предпочитали использовать анонимные средства связи, такие как Onion Mail и Telegram, для взаимодействия с жертвами и координации атак. Сервисы позволяют сохранять анонимность и избегать преследования правоохранительными органами.
Выкуп, как правило, требовали в криптовалюте, преимущественно в биткоинах, что также способствовало сохранению анонимности. В 2023 году стоимость биткоина продолжала расти, что делало его особенно привлекательным для получения выкупа.
Исследования NSHC показали, что атаки с использованием программ-вымогателей остаются серьезной угрозой, которая требует постоянного внимания и улучшения мер безопасности. Компании должны быть готовы к новым вызовам и укреплять свою киберзащиту, чтобы минимизировать риски и потенциальные убытки.
Чтобы предотвратить ущерб, необходимо создать систему реагирования на основе данных, связанных с недавними атаками с использованием программ-вымогателей. С этой целью необходимо обеспечить сбор информации о киберугрозах, которая позволит узнать о методах и инструментах атак, а также создать систему активного реагирования.