Шифровальщики не обходят Россию стороной

«Лаборатория Касперского» опубликовала обзор «Шифровальщики, действующие в СНГ», в котором подводит итоги первого полугодия текущего года. Принято считать, что жертвами кибервымогателей становятся почти исключительно крупные компании в США и Европе, Россию же эти атаки обходят стороной, поскольку за ними стоят зловещие «российские хакеры». Однако это мнение не соответствует действительности. Хотя наиболее известные и крупные кибервымогательские группировки – такие как REvil, LockBit или DarkSide – действительно избегают выбирать жертв на территории РФ и стран СНГ, существует множество менее крупных и «знаменитых» хакерских групп, которые создают очень серьезные проблемы бизнесу в России и сопредельных государствах.

В обзоре перечислены основные виды вымогательского ПО, чаще всего используемые в атаках на компании в России и странах СНГ. Это BigBobRoss, Crysis/Dharma, Phobos/Eking, Cryakl/CryLock, CryptConsole, Fonix/XINOF, Limbozar/VoidCrypt, Thanos/Hakbit и XMRLocker. Все эти зловреды существуют далеко не первый год, однако продолжают представлять серьезную угрозу. Наиболее эффективными для хакеров являются Dharma и Phobos. Вредоносное ПО Dharma известно еще с 2016 года. На какое-то время оно полностью прекратило свою активность, однако затем возродилось вновь. Троянец Phobos активен с 2017 года, а пик его атак пришелся на 2020. Оба этих зловреда написаны на C/C++ и скомпилированы в MS Visual Studio. Основным вектором их атак является несанкционированный доступ по протоколу удаленного рабочего стола RDP. При этом хакеры используют как brute-force атаки, так и покупку списков учетных данных у других киберпреступников.

Обзор также констатирует, что в вымогательских атаках на бизнес в России и странах СНГ, как и во всем мире, часто используется модель Ransomware as a Service (RaaS). Однако стоящие за этими атаками хакеры обладают меньшими организационными, финансовыми и техническими возможностями по сравнению с теми же REvil, LockBit или DarkSide. Они редко прибегают к покупке доступа к системам жертв, самостоятельно организуя их взлом и запуск вредоносного ПО. Кроме того, жертвы вымогательских атак часто предпочитают не раскрывать эту информацию – что также способствует формированию ошибочного представления о том, что в России и странах СНГ подобных атак практически нет.


Источник:  Лаборатория Касперского

Возврат к списку