Хакерские форумы начали ограничивать вымогателей-шифровальщиков

Хакерские форумы начали ограничивать продвижение бизнеса, связанного с вирусами-шифровальщиками, заметили эксперты. Это может спровоцировать вымогателей на более агрессивные атаки и увеличение суммы требуемого выкупа

Фото: Annette Riedl / dpa / Global Look Press

Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.), обратил внимание в своем телеграм-канале эксперт в области информационной безопасности Алексей Лукацкий.

Вирусы-шифровальщики блокируют доступ к компьютерам и шифруют содержащиеся на них данные, после чего хакеры требуют у жертв плату за восстановление доступа к информации. По оценке экспертов F.A.C.C.T. (бывшая Group-IB), в 2023 году количество атак программ-вымогателей для получения выкупа выросло на 160%, средняя сумма первоначального выкупа составила 53 млн руб. Жертвами чаще всего становились ретейлеры, производственные, строительные, туристические и страховые компании.

Обозначенную Лукацким тенденцию подтвердил эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Владимир Ким. По его словам, в России можно наблюдать снижение тренда на предложение атак с использованием программ-шифровальщиков. «Администраторы форумов запрещают деятельность операторов-вымогателей, чтобы не привлекать лишнего внимания к своим ресурсам и самим себе. А компании чаще всего отказываются платить выкуп — им легче оплатить штраф и восстановить те данные, которые возможно», — объяснил Ким.

rbc.group

Хакеры стали в разы чаще использовать при атаках аккаунты топ-менеджеров

Технологии и медиа

rbc.group

Старший аналитик исследовательской группы Positive Technologies Яна Юракова отметила, что, по данным из открытых источников, в январе—феврале этого года количество атак с использованием программ-вымогателей (ransomware) снизилось. «Но этот тренд продолжается уже несколько лет. При этом рано делать вывод, что этот «бизнес» теряет интерес для злоумышленников. Скорее вымогатели с помощью программ-шифровальщиков просто избрали сейчас стратегию не попадаться на глаза сотрудникам служб безопасности», — рассуждает она.

Какими будут последствия

По словам Кима, хакеры, которые занимаются вымогательством за шифрование, в основном предпочитают именно форумы, не имея высокого уровня доверия к другим площадкам. Лукацкий считает, что злоумышленники могут переместиться на другие форумы, более специализированные. Ведущий эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин отметил, что на традиционных площадках в теневом сегменте интернета действительно стало значительно меньше объявлений, связанных с активностью шифровальщиков, поскольку они переместились на специализированные форумы именно по этому виду угроз, но проблема остается актуальной.

Сокращение числа площадок, где рекламируются шифровальщики, а также более активная роль правоохранительных органов в поимке злоумышленников, по мнению Лукацкого, может привести к росту агрессивности группировок вымогателей и требованиям более крупных сумм выплат. Например, раньше они не позволяли себе атаки на медицинские организации, а сейчас позволяют, отметил эксперт.

Хакеры взломали сайт оператора платежной системы «Мир»

Финансы

Ким считает, что злоумышленники «просто делают ставку на другие направления киберкриминального бизнеса». «Никто не заставляет заниматься одними лишь шифровальщиками, некоторые группы сразу по десятку направлений работают», — отметил он.

По словам руководителя лаборатории цифровой криминалистики компании F.A.C.C.T. Антона Величко, у вымогателей появились собственные ресурсы, где они выкладывают данные об атакованных компаниях. «Публичное сообщение об атаке и угроза публикации украденных данных — это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России. Еще одним открытием 2023 года стали группы двойного назначения, которые преследуют как финансовые, так и политические цели. Наиболее яркий пример — преступный синдикат Comet (Shadow) — Twelve, в котором первая группировка выступает в роли вымогателя, требуя выкуп за расшифровку и нераспространение похищенных данных, а вторая — хактивиста-диверсанта, уничтожающего IT-инфраструктуру жертвы без выставления финансовых требований», — рассказал Величко.

В своем недавнем отчете F.A.C.C.T. прогнозировала, что в 2024 году программы-вымогатели сохранят за собой лидерство в рейтинге главных киберугроз для российских компаний. Целью шифровальщиков станет не только получение выгоды, но и нанесение жертвам максимального ущерба. Группировки стали не только требовать выкуп за расшифровку, но и за нераспространение похищенных данных, приводится пример в отчете.

Сокращение «продаж» шифровальщиков носит скорее «местечковый характер», уверен коммерческий директор компании «Код безопасности» Федор Дбар. По его мнению, основной трафик в этой нише проходит в закрытых форумах даркнета и телеграм-каналах, куда нет доступа «обычным» пользователям. «Безусловно, свою роль может играть активная работа специалистов и правоохранителей, которые проводят необходимые контрмеры для снижения эффективности работы вирусов-вымогателей», — пояснил Дбар.