Отчет о вымогателях за Третий квартал: число глобальных атак вымогателей увеличилось более чем на 95% за 2022 год
Отчеты

Отчет о вымогателях за Третий квартал: число глобальных атак вымогателей увеличилось более чем на 95% за 2022 год

Ключевые выводы

  • Число программ-вымогателей в мире продолжает расти. Corvus зафиксировал рост на 11,22% кв /кв в 3 квартале и на 95,41% г /г на сайтах утечек.
  • Ограниченное использование массовых эксплойтов оказывает заметное влияние на общее число программ-вымогателей. Ожидайте, что это продолжится.
    • Во втором квартале на долю группы программ-вымогателей CL0P, использовавшей уязвимость нулевого дня в программном обеспечении MOVEit для передачи файлов, пришлось 13% всех жертв программ-вымогателей в третьем квартале.
  • Без активности CL0P в 3 квартале количество программ-вымогателей по-прежнему увеличивалось бы на 5% за квартал и на 70% за год.
  • Следуя сезонным тенденциям распространения программ-вымогателей, ожидайте роста скорости атак в 4 квартале.
    • Хотя обычно мы наблюдаем снижение числа программ-вымогателей в летние месяцы, в этом году снижение было более поздним и более коротким, чем обычно.
  • Участились атаки на юридические фирмы и муниципалитеты.

Введение

2023 год стал рекордным годом для программ-вымогателей, как подробно описано Corvus в нашем ранее опубликованном отчете за 2 квартал. В 3 квартале наблюдался дальнейший рост: на сайтах утечки программ-вымогателей было зафиксировано 1278 жертв.

На данный момент число жертв вымогателей в 2023 году уже превысило то, что наблюдалось за весь 2021 или 2022 год. Если ситуация сохранится на текущей траектории, это может быть первый год, когда более 4000 жертв вымогателей разместили сообщения на сайтах утечек.

ГодОбщее число жертв утечек с сайтов
2023 год (пока)3,311
20222,670
20213,048

Имейте в виду, что это лишь частичная картина; жертвы, размещенные на сайтах утечек, обычно не платят или откладывают выплату выкупа. Но значительный процент жертв, по лучшим оценкам от 27% до 41%, быстро оплачивают требования участников угрозы и, таким образом, никогда не обнаруживаются на месте утечки.

Это означает, что общее число жертв программ-вымогателей может колебаться где-то между ~ 5500-7000 предприятиями в 2023 году.

Факторы, способствующие глобальному росту числа программ-вымогателей

По мере приближения к концу года число программ-вымогателей продолжает расти. Corvus отметил два ключевых фактора, которые способствовали росту числа программ-вымогателей в третьем квартале: CL0P ransomware group и необычно короткие “летние каникулы” у программ-вымогателей.

Массовые эксплойты CL0P достигли пика

Обычно довольно тихий CL0P ожил в 1 квартале, используя программное обеспечение для передачи файлов GoAnywhere, затронув более 130 жертв. Во 2 квартале они продолжили массовую эксплуатацию уязвимости нулевого дня в программном обеспечении MOVEit для передачи файлов, общее число жертв на момент публикации этого отчета составило 264 человека. На одну уязвимость MOVEit пришлось 9% от общего числа атак во втором квартале и 13% жертв в третьем квартале, что внесло значительный вклад в неуклонный рост числа жертв.

Но даже без CL0P количество программ-вымогателей выросло бы на 5% кв /кв и на 70% г / г в 3 квартале.

На приведенном ниже графике показано влияние одной группы, особенно той, которая когда-то была относительно спокойной.

До 2023 года CL0P составляли лишь незначительную часть от общего числа жертв вымогателей. Сейчас они составляют значительную долю от общего числа. Одна группа программ-вымогателей может разрушить рекорды с помощью единственной возможности массовой эксплуатации.

Обратите внимание на траекторию движения серых полос, представляющих активные группы программ—вымогателей, помимо CL0P, которые неуклонно увеличиваются в течение 2023 года. Даже независимо от огромного вклада CL0P, активность программ-вымогателей растет.

Пока что в этом году каждый квартал выше предыдущего. И, исходя из сезонных тенденций, четвертый квартал, вероятно, будет даже хуже третьего.

Необычно долгий летний перерыв

В течение последних нескольких лет программы-вымогатели в основном следовали сезонным тенденциям. Киберпреступности совершаются злоумышленниками-людьми, которым нужно выпустить пар и потратить украденные наличные, иногда на роскошный отпуск.

Обычно сокращение числа программ-вымогателей происходит в летние месяцы. В 2023 году это снижение произошло позже и было намного короче, чем мы обычно наблюдаем. Как показано на графике ниже, тенденция к снижению активности обычно начинается в мае и длится до начала августа, прежде чем снова подняться в течение 3-го и 4-го кварталов.

В этом году, как и ожидалось, в июне произошло снижение. Но затем число программ-вымогателей резко возросло до конца июля и первой половины августа.

Если вы моргнули, возможно, вы пропустили какую-либо передышку в активности. В то время как массовый эксплойт CL0P привел к увеличению абсолютных показателей, остальные действующие группы, с которыми вы знакомы, сделали небольшой шаг назад летом.

LockBit и ALPHV (BlackCat) сократили количество размещенных на сайтах утечек сообщений жертв примерно на 50% с апреля по июль 2023 года. Данные за конец 3-го и начало 4-го квартала показывают, что группы программ-вымогателей возвращаются в нужное русло, чтобы вызвать еще больший хаос в 4-м квартале.

Отраслевые тенденции

В третьем квартале в нескольких отраслях произошло значительное увеличение числа атак с использованием программ-вымогателей. К ним относятся: юридические фирмы, правительственные учреждения, производство, медицинская практика, а также нефтегазовая отрасль.

  • Юридическая практика: +70%
    • Во многом это связано с группой программ-вымогателей ALPHV. На эту группу приходится почти четверть всех жертв в этой отрасли (23,53%). Интерес ALPHV к юридическим фирмам наблюдается во многих странах, поскольку они являются наиболее эксплуатируемой отраслью в США, Канаде и Великобритании, а также одной из ведущих в Австралии.
  • Правительство: +95%
    • LockBit утроила число жертв среди правительственных структур со 2 по 3 квартал (в основном в городах или муниципалитетах). Группа программ-вымогателей Stormous также атаковала правительство Кубы, что внесло свой вклад в это общее число.
  • Нефть и газ: +142%
  • Производство: + 60%

Заключение

Программы—вымогатели продолжают набирать обороты – и третий квартал стал самым высоким кварталом за всю историю наблюдений. Влияние одной группы и даже одной уязвимости нулевого дня очевидно, поскольку CL0P отделился от пакета, вымогая большое количество компаний за короткий промежуток времени.

Из-за этого массового эксплойта типичное сокращение числа программ-вымогателей летом произошло позже и длилось не так долго. Но даже если не учитывать CL0P, для остальной экосистемы программ-вымогателей это обычный бизнес. И бизнес идет хорошо.

Если верить истории, мы, вероятно, увидим, что этот восходящий импульс продолжится в 4 квартале.

Методология

Данные для этого отчета собраны с сайтов утечки программ-вымогателей. Это сайты в темной Сети, поддерживаемые группами программ-вымогателей, где они перечисляют отказывающихся сотрудничать жертв и публикуют украденные данные. Опираясь на регулярные обходы этих сайтов утечки в темной Сети, Corvus может постоянно отслеживать застрахованных лиц и партнеров, а также использует агрегированные данные для этого анализа.

Как и в случае с большинством других существующих наборов данных, это неполная картина всех атак вымогателей. Жертвы’ которые быстро выполняют требования участников угрозы и спокойно платят выкуп, имеют гораздо меньшую вероятность появления на месте утечки и, следовательно, не будут учитываться при наших оценках скорости распространения программ-вымогателей. Всегда будет какой-то процент неизвестных атак.

Однако, используя наши данные в сочетании с аналитическими данными партнеров и других представителей отрасли, мы можем нарисовать всеобъемлющую картину ландшафта программ-вымогателей и сделать достоверные выводы.

Анализ Corvus стал возможен благодаря подтверждающим данным из eCrime.ch. Этот отчет предназначен только для общего руководства и информационных целей. Данный отчет ни при каких обстоятельствах не предназначен для использования или рассмотрения в качестве конкретной рекомендации по страхованию или информационной безопасности. Данный отчет не следует рассматривать как объективное или независимое объяснение вопросов, содержащихся в нем.

admin
Author: admin