Вымогатели становятся все более жадными

Группировки вымогателей на подъеме: требования вымогателей выросли на 45%.

Злоумышленники становятся все более жадными, Hive запросил у MediaMarkt огромную сумму в 240 миллионов долларов, а средний размер выкупа в 2021 году вырос до 247 000 долларов. Рост навыков вымогателей хорошо виден по времени бездействия жертвы, которое увеличилось с 18 дней в 2020 году до 22 дней в 2021 году, сообщает Group-IB после анализа более 700 атак злоуымшленников.

По мнению специалистов, рост числа брокеров начального доступа и расширение программ “вымогательское ПО как услуга” (RaaS) способствовали росту числа вымогательских атак. IB-Group отметила, что программы RaaS начали предлагать своим партнерам не только сборки вымогательского ПО, но и собственные инструменты для эксфильтрации данных и упрощения атак. Всё это привело к взрыву популярности стратегии двойного вымогательства – в 63% проанализированных случаев киберпреступники похищали данные жертв.

В период с 1 квартала 2021 года по 1 квартал 2022 года на сайтах с утечками данных было появилось более 3500 жертв. Согласно статистике, больше всех досталось США (1655 жертв), Канаде (176 жертв) и Великобритании (168 жертв).

Самыми агрессивными группировками вымогателей оказались Lockbit, Conti и Pysa, в списке которых 670, 640 и 186 жертв соответственно.

Для закрепления в системах жертв хакеры в основном использовали публичные сервера протоколов удаленного рабочего стола (RDP) – 47% атак начинались с взлома внешнего удаленного сервиса.

В 26% случаев атака начиналась с фишинговых писем, содержащих вредоносное ПО.

"В 2021 году стало очень сложно определять организаторов атак с использованием вымогательского ПО, поскольку многие популярные вредоносы использовались разными группировками злоумышленников, в отличие от 2020 года, когда определенные семейства вредоносных программ были тесно связаны с конкретными группировками вымогателей", – говорится в сообщении Group-IB.

В компании отметили, что некоторые банды злоумышленников пытаются использовать весьма нетрадиционные подходы.

"BazarLoader, используемый в операциях Ryuk, распространялся через вишинг (голосовой фишинг). Фишинговые электронные письма содержали информацию о "платных подписках", которые якобы можно было отменить по телефону. Во время звонка злоумышленники заманивали жертву на вредоносный веб-сайт с вредоносным файлом, который загружал и запускал BazarLoader".

Мы писали про Pysa , Conti и Hive . Специалистам удалось в деталях изучить методы работы группировок.