09
Сб, нояб

Банды программ-вымогателей подавлены, но не исчезли: CyberCube

cyber ubitkiПо мнению CyberCube, недавний успех правоохранительных органов в сдерживании роста количества программ-вымогателей может оказаться лишь временным.

Согласно брифингу Global Threat Outlook компании, занимающейся аналитикой киберрисков и данными, за последние шесть месяцев деятельность группировок, занимающихся вымогательством, была нарушена, что поставило под вопрос будущую угрозу со стороны программ-вымогателей.

«Сегодня мы находимся в режиме ожидания из-за программ-вымогателей. Цифры снизились, но мы вряд ли будем наблюдать это навсегда, и мы думаем о том, что будет дальше», — сказал Уильям Альтман, директор по разведке киберугроз в CyberCube.

После всплеска атак в начале 2023 года прошлый год стал одним из худших за всю историю по количеству программ-вымогателей: в Интернете был опубликован рекордный за всю историю объем скомпрометированных данных от жертв. Однако объем утечек данных начал падать в третьем квартале 2023 года из-за усиления правоприменительной деятельности, пояснил Альтман.

В феврале международная правоохранительная операция заблокировала даркнет-сайт российской группы программ-вымогателей (RaaS) LockBit, которую Национальное агентство по борьбе с преступностью Великобритании (NCA) назвало «самой вредоносной» киберпреступной группой в мире. В NCA заявили, что скомпрометировали преступную деятельность LockBit, взяли под контроль их системы и получили исходный код программы-вымогателя, ключи расшифровки и разведданные.

«Мы видели, как большое количество этих злоумышленников отключилось от сети в результате действий правоохранительных органов, последней из которых является банда LockBit», — сказал Альтман во время онлайн-брифинга. «Эта деятельность правоохранительных органов оказала большее влияние на субъектов угроз, чем когда-либо прежде. Теперь для защитников и участников угроз совершенно ясно и очевидно, что ни одна банда, занимающаяся вымогательством, не находится вне досягаемости самых могущественных правоохранительных органов», — сказал он.

По словам Альтмана, закрытие LockBit посылает четкий сигнал группам вымогателей.

«Если вы являетесь бандой, занимающейся вымогательством, и вы достаточно разрослись, и у вас достаточно чувствительных целей, АНБ, ЦРУ и Центр правительственной связи будут преследовать вас, и на планете нет такой степени оперативной безопасности, которая могла бы помешать этим группам понять кто ты», — сказал он.

Несмотря на успехи правоохранительных органов, банды вымогателей, скорее всего, сейчас перегруппируются. Деятельность банд-вымогателей, возможно, и была нарушена, но большинство злоумышленников все еще находятся на свободе. Министерство юстиции США арестовало и предъявило обвинения двум обвиняемым, ответственным за использование LockBit для проведения атак с использованием программ-вымогателей в США, а Европол арестовал двух хакеров в Польше и Украине.

«Мы могли бы увидеть объем данных о жертвах, и я думаю, что в какой-то момент он вернется, учитывая, что мы видим затишье, когда эти злоумышленники просто переоснащают свою инфраструктуру и выясняют, что их ждет дальше», — сказал Альтман.

Модель RaaS, согласно которой большая группа компаний предоставляет инструменты и средства администрирования, позволяющие филиалам осуществлять атаки с использованием программ-вымогателей, будет подорвана успехом правоохранительных органов.

«Мы, вероятно, увидим потенциальный отход от модели RaaS, при которой у вас есть крупный разработчик, предоставляющий код вымогателя сотням или тысячам филиалов, как модель франшизы в ресторане быстрого питания. У нас меньше шансов увидеть, что эта модель снова приживется», — сказал Альтман.

«По большей части эти разработчики достаточно «спалили» свои филиалы, поэтому риск присоединения к такой крупной централизованной операции довольно высок. Многие злоумышленники ощущают накал страстей и решают, закрыться или открыть собственный магазин. Учитывая, что часть кода программы-вымогателя стала известна, они могут сделать это довольно легко», — сказал он.

Положительным моментом является то, что устойчивость организаций к атакам программ-вымогателей продолжает расти. Данные компании Coveware, занимающейся аналитикой программ-вымогателей, показывают, что склонность платить выкуп имеет тенденцию к снижению с 2019 года. В начале 2024 года менее четверти атак с целью вымогательства и эксфильтрации привели к выплате выкупа, по сравнению с более чем половиной в 2022 году.

«Совершенно очевидно, что все больше и больше организаций способны противостоять атакам с шифрованием», — сказал Альтман, отметив успех решений по резервному копированию и восстановлению данных, а также сегментации сети в защите критически важных данных от шифрования. «Такие меры предосторожности позволяют компаниям подвергнуться атаке с шифрованием, а затем фактически не платить выкуп за получение ключа шифрования», — сказал он.

«В целом организации лучше защищены от программ-вымогателей, чем раньше. Частично это связано со страхованием и киберстраховщиками, требующими более строгих мандатов и контроля в отношении главного источника потерь — программ-вымогателей», — добавил он.

В то же время компании поняли, что они не могут доверять бандам вымогателей, которые не будут публиковать украденные данные, даже если за них был уплачен выкуп. NCA обнаружило, что LockBit все еще хранит данные, принадлежащие жертвам, заплатившим выкуп.

«Защитники поняли, что злоумышленники бесчестны. Среди воров нет чести. Они могут сказать, что удалят данные, как только вы заплатите за их возврат, но часто они этого не делают. Нет никакой гарантии, что данные будут возвращены и уничтожены, если вы заплатите. Поэтому организации больше даже не садятся за стол переговоров», — сказал Альтман.

Кьяран Мартин, бывший генеральный директор Национального центра кибербезопасности Великобритании (NCSC), недавно призвал правительство запретить практику оплаты выкупа по требованиям злоумышленников. Альтман, однако, предостерег от «драконовских правил», которые загонят эту практику в подполье и не позволят компаниям сообщать о нападениях. Вместо этого он призывает к созданию «пула капитала», к которому жертвы атаки с помощью программ-вымогателей смогут получить доступ при условии, что они обеспечат сетевую безопасность в соответствии с лучшими практиками и сообщат об инциденте.

Хотя угроза программ-вымогателей в США, возможно, ослабевает, во многих других странах она возрастает. Например, CyberCube отмечает, что число программ-вымогателей растет быстрее всего в Украине, Финляндии и Сербии (на эти три страны в совокупности приходится 10% случаев обнаружения программ-вымогателей), поскольку Россия спонсирует преступные операции с программами-вымогателями, чтобы дестабилизировать экономику соседних стран и их союзников.

По данным CyberCube, число программ-вымогателей также растет в Азиатско-Тихоокеанском регионе и на Ближнем Востоке. На Тайване, например, также происходят рекордные атаки с использованием программ-вымогателей, что, по мнению Альтмана, связано с тем, что Китай перенял тактику России, используя киберпреступников для дестабилизации тайваньской экономики. Оффшорные юрисдикции, такие как Багамские острова, также все чаще становятся мишенью для групп, занимающихся вымогательством, которых привлекают данные и деньги, которыми владеют или управляют финансовые учреждения.

«Везде, где сегодня есть цифровая связь, в качестве возможного вектора атаки будут использоваться программы-вымогатели», — сказал Альтман.

Подготовлено порталом Allinsurance.kz