2024 год стал рекордным для групп, занимающихся программами-вымогателями, особенно в сегменте двойного вымогательства, где данные жертвы не только шифруются, но и изымаются для возможного раскрытия на сайтах утечек, если выкуп не будет выплачен. По данным отчёта Secureworks State of the Threat 8-го издания, опубликованного в мае, число таких групп достигло исторического максимума. В то время 40 киберпреступных групп активно публиковали информацию о своих жертвах, что свидетельствует о значительных изменениях в мире киберпреступности. Эта статья расскажет, что привело к такому всплеску активности, как реагируют на угрозы правоохранительные органы, и какие меры необходимы для защиты от растущего числа атак.
Эволюция угроз в киберпространстве
Программы-вымогатели (Ransomware) уже давно остаются одной из самых серьёзных угроз в области кибербезопасности. В последние годы они переживают значительную эволюцию, превратившись в сложные бизнес-модели, опирающиеся на партнерские программы и экосистему программ-вымогателей как услуги (RaaS). Суть модели RaaS заключается в том, что разработчики вредоносных программ предоставляют свои инструменты партнерам (филиалам), которые непосредственно выполняют атаки и делятся прибылью с создателями программ.
2024 год продемонстрировал беспрецедентный рост числа групп двойного вымогательства — отчасти благодаря фрагментации ранее крупных группировок, таких как LockBit и ALPHV/BlackCat, которые стали мишенью для правоохранительных органов в конце 2023 года и начале 2024 года.
Дон Смит, вице-президент по разведке угроз в Counter Threat Unit (CTU) компании Secureworks, заявил: «Программы-вымогатели — это бизнес, который не может существовать без своей партнёрской модели. За последний год действия правоохранительных органов разрушили старые связи, изменив ландшафт киберпреступности». Тем не менее, несмотря на хаос, киберпреступники смогли адаптироваться, и результатом стало появление новых групп и перераспределение партнеров среди более мелких RaaS-операций.
Действия правоохранительных органов: удар по LockBit и его последствия
Одним из ключевых событий стало многоэтапное нарушение работы группы LockBit. В феврале 2024 года международная операция правоохранительных органов захватила ключевую инфраструктуру LockBit, включая серверы и управляемые точки контроля. А в мае того же года была раскрыта личность её главного администратора, что нанесло значительный удар по группе. Эти события привели к распаду её партнёрских связей и вынудили многие филиалы перейти на другие операции RaaS.
После удара по LockBit число её филиалов сократилось с 194 до всего 69. Многие из оставшихся филиалов мигрировали в другие группы, такие как Qilin, которая значительно увеличила свою активность, достигнув пика в 19 атак на жертв в мае 2024 года.
Рост числа активных групп и их влияние на жертв
Фрагментация группировок в результате действий правоохранительных органов стала катализатором для появления множества новых групп. С июля 2023 года по июнь 2024 года было зафиксировано 30%-ное увеличение числа активных групп, использующих тактику двойного вымогательства. За этот период времени появилось 31 новая группа, в то время как старые закрылись или изменили название. Это привело к ещё большему распределению усилий среди филиалов.
Согласно отчёту Secureworks, в марте 2024 года было зафиксировано рекордное количество жертв — 730 человек, чьи данные оказались на сайтах утечек. Одним из ключевых игроков, ответственных за массовые утечки, оказался злоумышленник под псевдонимом Dispossessor, который публиковал данные о жертвах, заявленных ранее другими группами, особенно LockBit. Однако и он был ликвидирован правоохранительными органами в августе 2024 года.
Основные векторы атак: уязвимости и учетные данные
Несмотря на значительные изменения в экосистеме программ-вымогателей, основные тактики злоумышленников остаются неизменными. Программы-вымогатели продолжают эксплуатировать неисправленные уязвимости в программном обеспечении для получения первоначального доступа к системам. В 50% случаев атаки программы-вымогатели использовали уязвимости, и самой распространённой уязвимостью стал Citrix Netscaler CVE-2023-4966 (также известный как Citrix Bleed). Следом шли уязвимости в продуктах Fortinet, Progress Software, F5 и Cisco.
Также частым вектором для получения доступа становятся украденные учётные данные, особенно в системах, где не используется многофакторная аутентификация (MFA). В отчете отмечается, что эти два метода остаются главными угрозами для организаций, поскольку их использование позволяет злоумышленникам проникать в системы с минимальными усилиями.
Скорость атак и их последствия
Особое внимание стоит уделить скорости развёртывания программ-вымогателей. Исследователи Secureworks зафиксировали, что в трети атак время между первоначальным вторжением и развертыванием полезной нагрузки программ-вымогателей составляет менее суток. В некоторых случаях время действия составило всего семь часов. Это подчёркивает важность быстрого устранения уязвимостей и внедрения передовых мер безопасности, таких как многофакторная аутентификация и мониторинг активности в сети.
Ещё треть атак имела время ожидания между первоначальным доступом и развёртыванием вымогателей в диапазоне от одного дня до недели, а в оставшихся случаях злоумышленники выжидали более 10 дней, прежде чем развернуть атаку. Самое длительное зафиксированное время ожидания составило 135 дней.
Важность быстрой реакции на уязвимости и усиление мер безопасности
Атаки программ-вымогателей становятся всё более изощрёнными и быстрыми, что ставит перед организациями серьёзные вызовы в области кибербезопасности. Нацеленность злоумышленников на уязвимости и украденные учётные данные демонстрирует необходимость быстрого устранения критических ошибок в безопасности, а также использования устойчивой к фишингу многофакторной аутентификации (MFA) для защиты ключевых учетных записей.
Рекомендации экспертов в области кибербезопасности сводятся к следующему: необходимо не только оперативно устранять выявленные уязвимости, но и использовать передовые методы защиты, такие как сегментация сетей, использование средств анализа поведения пользователей и внедрение систем для автоматического мониторинга и блокировки подозрительных действий.
Заключение
2024 год стал годом изменений в ландшафте программ-вымогателей. Действия правоохранительных органов и фрагментация крупнейших группировок изменили экосистему RaaS, породив новые группы и увеличив активность двойного вымогательства. Основные методы атак, такие как эксплуатация уязвимостей и использование украденных учётных данных, остаются в приоритете у злоумышленников, что требует усиленных мер безопасности и быстрого реагирования на возникающие угрозы.
Программы-вымогатели остаются одной из самых серьёзных угроз в области кибербезопасности, и 2024 год показал, что эта угроза будет только расти и эволюционировать.