Отчет о программах-вымогателях за 3 квартал: число глобальных атак программ-вымогателей увеличилось более чем на 95% за 2022 год - Corvus Insurance
КиберстрахованиеОтчеты

Отчет о программах-вымогателях за 3 квартал: число глобальных атак программ-вымогателей увеличилось более чем на 95% за 2022 год – Corvus Insurance

Ключевые выводы

  • Число программ-вымогателей в мире продолжает расти. Corvus зафиксировал рост на 11,22% кв/кв в 3 квартале и на 95,41% г/г по сайтам утечки.
  • Ограниченное использование массовых эксплойтов оказывает заметное влияние на общее число программ-вымогателей. Ожидайте, что это продолжится.
    • Во втором квартале на долю группы вымогателей CL0P, использовавшей уязвимость нулевого дня в программном обеспечении MOVEit для передачи файлов, пришлось 13% всех жертв программ-вымогателей в третьем квартале.
  • Без активности CL0P в 3 квартале количество программ-вымогателей по-прежнему увеличивалось бы на 5% за квартал и на 70% за год.
  • В соответствии с сезонными тенденциями распространения программ-вымогателей ожидается рост скорости атак в 4 квартале.
    • Хотя обычно мы наблюдаем снижение числа программ-вымогателей в летние месяцы, в этом году снижение было более поздним и более коротким, чем обычно.
  • Участились атаки на юридические фирмы и муниципалитеты.

Введение

2023 год стал рекордным годом для программ-вымогателей, как подробно описано Corvus в нашем ранее опубликованном отчете за 2 квартал. В 3 квартале наблюдался дальнейший рост: на сайтах утечки программ-вымогателей было зафиксировано 1278 жертв.

Это на 11,22% больше, чем во 2 квартале, и на 95,41% больше в годовом исчислении.

На данный момент число жертв вымогателей в 2023 году уже превысило то, что наблюдалось за весь 2021 или 2022 год. Если ситуация будет развиваться по текущей траектории, это может быть первый год, когда более 4000 жертв вымогателей разместили сообщения на сайтах утечек.

ГодОбщее число жертв сайтов-утечек
2023 год (пока)3,311
20222,670
20213,048

Имейте в виду, что это лишь частичная картина; жертвы, размещенные на сайтах утечек, обычно не платят или откладывают выплату выкупа. Но значительный процент жертв, по лучшим оценкам от 27% до 41%, быстро оплачивают требования участников угрозы и, таким образом, никогда не обнаруживаются на месте утечки.

Это означает, что общее число жертв программ-вымогателей может колебаться где-то между ~ 5500-7000 предприятиями в 2023 году.

Факторы, способствующие глобальному росту числа программ-вымогателей

По мере приближения к концу года число программ-вымогателей продолжает расти. Corvus отметил два ключевых фактора, которые способствовали росту числа программ-вымогателей в третьем квартале: CL0P ransomware group и необычно короткий “летний перерыв” в борьбе с программами-вымогателями.

Массовые эксплойты CL0P достигли пика

Обычно довольно тихий CL0P ожил в 1 квартале, используя программное обеспечение для передачи файлов GoAnywhere, затронув более 130 жертв. Во 2 квартале они продолжили массовую эксплуатацию уязвимости нулевого дня в программном обеспечении MOVEit для передачи файлов, общее число жертв на момент составления этого отчета составило 264 человека. На одну уязвимость MOVEit пришлось 9% от общего числа атак во втором квартале и 13% жертв в третьем квартале, что значительно способствовало неуклонному росту числа жертв.

Но даже без CL0P количество программ-вымогателей выросло бы на 5% кв /кв и на 70% г/г в 3 квартале.

На графике ниже показано влияние одной группы, особенно той, которая когда-то была относительно спокойной.

До 2023 года CL0P составляли лишь незначительную часть от общего числа жертв вымогателей. Сейчас они составляют значительную долю от общего числа. Одна группа программ-вымогателей может побить рекорды с помощью единственной возможности массовой эксплуатации.

Обратите внимание на траекторию движения серых полос, представляющих активные группы программ—вымогателей— помимо CL0P, которые неуклонно увеличиваются в течение 2023 года. Даже независимо от огромного вклада CL0P, активность программ-вымогателей растет.

Пока что в этом году каждый квартал выше предыдущего. И, исходя из сезонных тенденций, четвертый квартал, вероятно, будет даже хуже третьего.

Необычно долгий летний перерыв

В течение последних нескольких лет программы-вымогатели в основном следовали сезонным тенденциям. Киберпреступления совершаются злоумышленниками-людьми, которым нужно выпустить пар и потратить украденные наличные, иногда на роскошный отпуск.

Обычно снижение числа программ-вымогателей происходит в летние месяцы. В 2023 году это снижение произошло позже и было намного короче, чем мы обычно наблюдаем. Как показано на графике ниже, тенденция к снижению активности обычно начинается в мае и длится до начала августа, а затем снова возрастает в течение 3-го и 4-го кварталов.

В этом году, как и ожидалось, в июне произошло снижение. Но затем количество программ-вымогателей резко возросло до конца июля и первой половины августа.

Если вы моргнули, возможно, вы пропустили какую-либо передышку в активности. В то время как массовый эксплойт CL0P привел к увеличению абсолютных показателей, остальные действующие группы, с которыми вы знакомы, сделали небольшой шаг назад летом.

С апреля по июль 2023 года LockBit и ALPHV (BlackCat) сократили количество размещенных жертвами утечек информации сайтов примерно на 50%. Данные за конец 3-го и начало 4-го квартала показывают, что группы программ-вымогателей возвращаются к работе, чтобы вызвать еще больший хаос в 4-м квартале.

Отраслевые тенденции

В третьем квартале в нескольких отраслях произошло значительное увеличение числа атак с использованием программ-вымогателей. К ним относятся: юридические фирмы, правительственные учреждения, производство, медицинская практика, а также нефтегазовая отрасль.

  • Юридическая практика: +70%
    • Во многом это связано с группой программ-вымогателей ALPHV. На эту группу приходится почти четверть всех жертв в этой отрасли (23,53%). Интерес ALPHV к юридическим фирмам наблюдается во многих странах, являясь их наиболее эксплуатируемой отраслью в США, Канаде и Великобритании, а также одной из ведущих в Австралии.
  • Правительство: +95%
    • LockBit утроила число жертв среди правительства со 2 по 3 квартал (в основном в городах или муниципалитетах). Группа вымогателей Stormous также атаковала правительство Кубы, что внесло свой вклад в это общее число.
  • Нефть и газ: +142%
  • Производство: + 60%

Заключение

Программы—вымогатели продолжают набирать обороты – и третий квартал стал самым высоким кварталом за всю историю наблюдений. Влияние одной группы и даже одной уязвимости нулевого дня очевидно, поскольку CL0P отделился от пакета, вымогая большое количество компаний за короткий промежуток времени.

Из-за этого массового эксплойта типичное сокращение числа программ-вымогателей летом произошло позже и длилось не так долго. Но даже если не учитывать CL0P, для остальной экосистемы программ-вымогателей это обычный бизнес. И бизнес идет хорошо.

Если судить по истории, мы, вероятно, увидим, что этот восходящий импульс продолжится в 4 квартале.

Методология

Данные для этого отчета собраны с сайтов утечки программ-вымогателей. Это сайты в темной сети, поддерживаемые группами программ-вымогателей, где они перечисляют отказывающихся сотрудничать жертв и публикуют украденные данные. Опираясь на регулярные обходы этих сайтов утечки в темной сети, Corvus может постоянно отслеживать застрахованных лиц и партнеров, а также использует агрегированные данные для этого анализа.

Как и в случае с большинством других существующих наборов данных, это неполная картина всех атак программ-вымогателей. Жертвы’ которые быстро выполняют требования злоумышленников и спокойно платят выкуп, имеют гораздо меньшую вероятность появления на месте утечки и, следовательно, не будут учитываться при наших оценках скорости распространения программ-вымогателей. Всегда будет какой-то процент неизвестных атак.

Однако, используя наши данные в сочетании с аналитическими данными партнеров и других представителей отрасли, мы можем нарисовать всеобъемлющую картину ландшафта программ-вымогателей и сделать достоверные выводы.

Анализ Corvus стал возможен благодаря подтверждающим данным из eCrime.ch. Этот отчет предназначен только для общего руководства и информационных целей. Данный отчет ни при каких обстоятельствах не предназначен для использования или рассмотрения в качестве конкретного совета по страхованию или информационной безопасности. Данный отчет не следует рассматривать как объективное или независимое объяснение содержащихся в нем вопросов.

admin
Author: admin