Лаборатория Касперского представила отчёт о кибератаках с использованием программ-вымогателей
Эксперты Лаборатории Касперского проанализировали атаки шифровальщиков по всему миру. Согласно данным Kaspersky Security Network, в 2024 году самая высокая доля таких инцидентов была зафиксирована на Ближнем Востоке. Наиболее низкие показатели наблюдаются в Европе.
По всему миру доля пользователей, столкнувшихся с атаками шифровальщиков, с 2023 года по 2024 год выросла на 0,02 п.п., до 0,44%. Эксперты отмечают, что в процентном выражении количество инцидентов держится на относительно невысоком уровне, поскольку злоумышленники зачастую не распространяют такие вредоносы массово, а атакуют только выгодные им мишени.
Ближний Восток и Азиатско-Тихоокеанский регион
Высокая доля инцидентов в этих регионах связана с быстрой цифровой трансформацией и разным уровнем зрелости стран в области кибербезопасности. Крупные предприятия в Азиатско-Тихоокеанском регионе часто подвергаются целевым атакам, которые в основном направлены на бизнес, в том числе промышленный сектор.
Главным образом это касается стран с растущей экономикой и государств, где законодательство в области информационной безопасности только начинает развиваться.
Африка
Шифровальщики меньше атакуют пользователей в Африке из-за низкого уровня цифровизации и особенностей местной экономики — благодаря этим факторам количество потенциально интересных целей для злоумышленников остаётся на невысоком уровне.
Однако в некоторых странах, таких как ЮАР и Нигерия, число атак с использованием программ-вымогателей растёт. Особенно это заметно в производственном, финансовом и государственном секторах. При этом не все организации достаточно осведомлены о киберугрозах и обладают необходимыми ресурсами для защиты.
Латинская Америка
В этом регионе чаще всего с шифровальщиками сталкиваются Бразилия, Аргентина, Чили и Мексика. Атакам подвергаются производственный и госсектор, предприятия аграрно-промышленного комплекса, а также энергетика и ретейл.
При этом местные организации представляют меньший интерес для злоумышленников из-за локальных экономических условий — суммы потенциального выкупа могут быть не очень большими. Тем не менее вероятность кибератак с использованием программ-вымогателей увеличивается, поскольку компании активно внедряют цифровые технологии.
СНГ и Россия
В регионе активно действуют хактивистские группы, такие как Head Mare и Twelve. Для атак на организации они в том числе используют программы-вымогатели, например LockBit 3.0. Приоритетные цели злоумышленников — сфера производства, госсектор и ретейл.
Европа
Европейские страны тоже сталкиваются с угрозой программ-вымогателей, при этом часто целью кибератак становятся производственные предприятия, госучреждения и организации из сферы образования.
Зрелое законодательство в области ИБ, грамотное реагирование на инциденты, осведомлённость о киберугрозах, использование надёжных систем защиты и диверсификация экономики — всё это помогает противостоять шифровальщикам в регионе.
Ключевые тенденции атак с использованием программ-вымогателей
Злоумышленники всё чаще применяют искусственный интеллект для разработки шифровальщиков. Это подтверждает пример группы FunkSec, которая появилась в конце 2024 года и быстро получила известность. FunkSec работает по модели «шифровальщик как услуга» (Ransomware-as-a-Service, RaaS) и использует тактику двойного вымогательства: в этом случае шифрование данных сочетается с их кражей.
Среди целей группы — организации из госсектора, а также сфер ИТ, финансов и образования в Европе и Азии. FunkSec известна тем, что активно применяет инструменты на основе ИИ.
В частности, в коде шифровальщика, разработанного группой, содержатся комментарии, вероятно, сгенерированные с помощью больших языковых моделей (LLM). Таким образом злоумышленники стремятся улучшить процесс разработки и избежать обнаружения. В отличие от групп, традиционно требующих миллионные выкупы, FunkSec использует массовый подход и вымогает у жертв небольшие суммы.
По данным аналитической компании Chainalysis, в 2024 году злоумышленники с помощью шифровальщиков заработали меньше денег: они получили всего около 813 миллионов долларов США по сравнению с рекордом в 1,25 миллиарда долларов США в 2023 году. При этом средняя сумма выкупа увеличилась в полтора раза — до четырех миллионов долларов США, сообщается в отчёте разработчика Sophos.
Эта динамика подтверждает, что атакующие выбирают более крупные предприятия. В Sophos также отмечают, что в 2024 году выросло число организаций, которые заплатили выкуп. Хотя другие аналитические компании пришли к противоположному выводу: пострадавшие стали менее охотно реагировать на требования злоумышленников.
Например, по данным Coveware, в последнем квартале 2024 года доля атакованных компаний, которые решили заплатить выкуп за восстановление данных, сократилась и достигла рекордно низких 25%. Годом ранее показатель составил 29%. Эта динамика объясняется более активными действиями правоохранительных органов, повышением уровня кибербезопасности и регулированию, которое препятствует выплатам в пользу злоумышленников.
По-прежнему преобладает модель RaaS
Она помогает атакующим преодолеть технические барьеры и способствует распространению шифровальщиков. В 2024 году такие группы, как RansomHub, успешно предлагали вредоносное ПО, техподдержку и партнёрские программы с возможностью разделить выкуп. Модель RaaS позволяет злоумышленникам, не обладающим серьёзными техническими навыками, проводить сложные атаки. Это в том числе привело к появлению множества новых групп в 2024 году.
Программы-вымогатели будут развиваться за счёт эксплуатации нестандартных уязвимостей
Наглядный пример — группа Akira, которая провела атаку с помощью шифровальщиков через веб-камеру. Это устройство использовалось, чтобы обойти системы обнаружения и проникнуть во внутренние сети. Злоумышленники, вероятно, чаще будут целиться в точки входа, которым не всегда уделяется достаточно внимания с точки зрения кибербезопасности.
К ним можно отнести IoT-устройства, умные гаджеты или неправильно настроенное оборудование на рабочем месте. По мере того как организации будут внедрять новые средства защиты, группы станут менять свои тактики.
Чтобы противостоять шифровальщикам, Лаборатория Касперского рекомендует организациям:
· регулярно обновлять ПО на всех устройствах, чтобы избежать использование уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
· в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
· создавать резервные копии данных офлайн, в которые атакующие не смогут внести изменения. Важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента;
· предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов;
· использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
· проводить тренинги по кибербезопасности для сотрудников. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform.
