Согласно отчету Cyberint, число активных группировок программ-вымогателей достигло рекордного уровня за всю историю

В этом году зафиксировано самое большое количество активных группировок программ-вымогателей: во втором квартале 58 атаковали глобальные компании. Поставщик платформы анализа угроз Cyberint сообщил лишь о небольшом спаде в третьем квартале: 57 активных групп.

Кроме того, в третьем квартале 10 крупнейших групп вирусов-вымогателей были ответственны только за 58,3% всех обнаруженных атак. Это отражает как рост числа активных групп в целом, так и снижение активности со стороны более крупных игроков благодаря успешным операциям правоохранительных органов, таким как ALPHV и Dispossessor.

Ади Блейх, исследователь безопасности в Cyberint, сообщил TechRepublic в электронном письме: «Количество активных группировок программ-вымогателей достигло рекордно высокого уровня, что означает, что предприятия сталкиваются с повышенным риском атак, поскольку каждая из этих конкурирующих банд теперь должна бороться за цели. Конкуренция между различными группами программ-вымогателей подпитывает все более частые атаки, оставляя очень мало места для ошибок со стороны команд кибербезопасности предприятий.

«Раньше уязвимости и пробелы в системе безопасности могли оставаться незамеченными, но распространение группировок программ-вымогателей, прочесывающих Интернет в поисках новых жертв, означает, что даже незначительные ошибки теперь могут быстро привести к серьезным инцидентам безопасности».

Самые плодовитые группы вирусов-вымогателей становятся жертвами операций правоохранительных органов

Действительно, отдельное исследование WithSecure показало, что из 67 группировок программ-вымогателей, отслеживаемых в 2023 году, 31 прекратила свою деятельность по состоянию на второй квартал 2024 года. NCC Group также отметила снижение числа атак программ-вымогателей в годовом исчислении в июне и июле этого года, что эксперты связывают с перебоями в работе LockBit.

СМОТРИТЕ: LockBit снова в сети, поскольку банда вирусов-вымогателей продолжает конфликтовать с правоохранительными органами

LockBit, как правило, отвечал за большинство атак, но, согласно отчету Cyberint, в третьем квартале было всего 85 атак, что означает, что компания атаковала почти на 60% меньше компаний, чем во втором. Это самое низкое число квартальных атак группы за полтора года.

В августовском отчете Malwarebytes также говорится, что доля атак с использованием программ-вымогателей, ответственность за которые взяла на себя компания LockBit, за последний год снизилась с 26% до 20%, несмотря на то, что было совершено больше индивидуальных атак.

ALPHV, вторая по плодовитости группа вымогателей, также создала вакансию после небрежно выполненной кибератаки на Change Healthcare в феврале. Группа не выплатила аффилированному лицу свой процент от выкупа в размере 22 миллионов долларов, поэтому аффилированное лицо разоблачило их, что побудило ALPHV сфальсифицировать захват правоохранительными органами и прекратить операции.

СМ.: Хронология: 15 известных кибератак и утечек данных

Эти наблюдения показывают, что действия правоохранительных органов оказываются эффективными против более устоявшихся банд, одновременно открывая новые возможности для более мелких групп. Аналитики Malwarebytes добавили, что новые банды «наверняка попытаются привлечь своих партнеров и вытеснить их с позиции доминирующей силы в области программ-вымогателей».

Но аналитики Cyberint с оптимизмом смотрят на волновой эффект операций по ликвидации более мелких игроков, написав: «Поскольку эти крупные операции испытывают трудности, это лишь вопрос времени, когда другие крупные и мелкие группы вымогателей последуют тому же пути. Продолжающиеся репрессии создали более враждебную среду для этих групп, давая понять, что их доминирование может не продлиться долго».

Действительно, вместо продолжения восходящей тенденции, начавшейся во втором квартале, когда число атак с целью вымогательства увеличилось почти на 21,5%, исследователи Cyberint обнаружили, что 1209 случаев в третьем квартале на самом деле означают снижение на 5,5%.

SEE: Согласно отчету, количество кибератак в мире удвоится с 2020 по 2024 год

Самой заметной группой вымогателей в этом квартале стала RansomHub, на нее пришлось 16,1% всех случаев, заявив о 195 новых жертвах. Известные атаки включают атаки на мирового производителя Kawasaki и нефтегазовую сервисную компанию Halliburton. Аналитики Cyberint говорят, что корни группы, скорее всего, находятся в России и что она связана с бывшими филиалами ныне неактивной группы ALPHV.

Второе место в списке самых активных группировок вымогателей занимает Play, которая заявила о 89 жертвах и 7,9% всех случаев. Она якобы осуществила более 560 успешных атак с июня 2022 года, причем самая заметная из них в этом году была нацелена на среду VMWare ESXi.

«Если не помешать этому, в 2024 году Play побьет собственный рекорд по количеству жертв в год (301)», — пишут аналитики.

Группы программ-вымогателей, нацеленные на системы Linux и VMWare ESXi

В отчете Cyberint отмечена тенденция, согласно которой группы программ-вымогателей уделяют особое внимание системам на базе Linux и серверам VMware ESXi.

VMware ESXi — это гипервизор bare-metal, который позволяет создавать и управлять виртуальными машинами непосредственно на серверном оборудовании, которое может включать критические серверы. Взлом гипервизора может позволить злоумышленникам одновременно отключить несколько виртуальных машин и удалить возможности восстановления, такие как моментальные снимки или резервные копии, что окажет значительное влияние на операции компании.

Группы вирусов-вымогателей Play и Cicada3301 разработали вирусы-вымогатели, специально нацеленные на серверы VMWare ESXi, в то время как Black Basta использовала уязвимости, которые позволяют им шифровать все файлы виртуальных машин.

СМ.: Black Basta Ransomware атаковал более 500 организаций по всему миру

Linux-системы также часто размещают виртуальные машины и другую критическую бизнес-инфраструктуру. Такой фокус подчеркивает интерес киберпреступников к огромным деньгам, которые можно получить, нанося максимальный ущерб корпоративным сетям.

Злоумышленники используют вредоносное ПО и легитимные инструменты

За последний год методы группировок, занимающихся вымогательством, значительно усложнились: исследователи Cyberint наблюдали, как злоумышленники использовали пользовательские вредоносные программы для обхода инструментов безопасности. Например, банда Black Basta использовала ряд пользовательских инструментов после получения первоначального доступа к целевым средам.

Атакующие также используют законные инструменты безопасности и облачного хранения, чтобы избежать обнаружения. RansomHub был замечен с использованием средства удаления руткитов TDSSKiller от Kaspersky для отключения обнаружения и реагирования на конечные точки, а также инструмента восстановления паролей LaZagne для сбора учетных данных. Кроме того, несколько групп использовали инструменты Azure Storage Explorer и AzCopy от Microsoft для кражи корпоративных данных и хранения их в облачной инфраструктуре.

Блейх рассказал TechRepublic: «По мере того, как эти банды становятся все более успешными и хорошо финансируемыми, они становятся все более изощренными и действуют так же, как законное предприятие. Хотя мы часто видим те же проверенные векторы атак — фишинговые атаки, использование украденных учетных данных, эксплуатация уязвимостей в активах, подключенных к Интернету, — они становятся все более изобретательными в том, как они применяют эти распространенные методы.

«Они также становятся все более гибкими и масштабируемыми. Например, хотя субъекты угроз всегда были технически подкованы, теперь они могут начать использовать новые уязвимости в больших масштабах всего через несколько дней после документирования критической CVE. Раньше это могло занять несколько недель или даже больше».