С начала весны количество атак вирусов-шифровальщиков на российские компании утроилось, подсчитали в компаниях по кибербезопасности. Там связывают рост с военными действиями на Украине: хакеры начали принимать ту или иную сторону в конфликте. Теперь злоумышленники во многом концентрируются на поражении конкретных систем и атакуют не столько ради финансовой выгоды, сколько ради общественного резонанса, предупреждают эксперты.
Фото: Николай Цыганов, Коммерсантъ
Фото: Николай Цыганов, Коммерсантъ
“Ъ” ознакомился с исследованием «Лаборатории Касперского» о развитии вирусов-шифровальщиков (программы, которые внедряют на устройства жертв для шифрования ценных файлов, а за расшифровку требуют выкуп).
Согласно отчету, в 2022 году хакеры, использующие шифровальщики, переходят от массовых рассылок к целенаправленным атакам и более сложному программному обеспечению (ПО).
«Лаборатория Касперского» не выделяет резкого роста числа атак с использованием шифровальщиков, обращая внимание именно на изменения в технике атак. Но в Group-IB рассказали “Ъ”, что после 24 февраля в России наблюдается трехкратный рост атак программ-вымогателей.
На ситуацию повлияли военные действия РФ на Украине. «Вскоре после начала конфликта некоторые группы вымогателей перешли на одну из сторон, в результате появились атаки, проводимые в поддержку России или Украины»,— отмечает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. Также, по данным компании, в 2022 году хакеры, использующие шифровальщики, начали консолидировать их в единые платформы, чтобы повредить как можно больше систем одним и тем же ПО: «Они пишут код, который можно использовать сразу в нескольких операционных системах».
Например, группировка вымогателей, использующая программу Conti, разработала вариант, ориентированный на ОС Linux, уточнили в «Лаборатории Касперского». Появление универсальных версий вполне ожидаемо с учетом все большей распространенности Linux-систем, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева.
В среде хакеров-вымогателей начались внутренние конфликты из-за геополитики, подтверждают в Group-IB.
Так, группировку Conti начали подозревать в связях с Россией после ее заявления о поддержке правительства страны. «После этого партнер, работавший с территории Украины, выложил сведения о личностях участников Conti, а также исходный код программы-вымогателя в публичный доступ, что позволило хактивистам использовать это семейство программ против организаций в России»,— рассказал руководитель лаборатории цифровой криминалистики Group-IB Олег Скулкин. Эта группировка считается одной из самых агрессивных. Так, о чрезвычайном положении в стране в связи с атакой Conti 9 мая объявила Коста-Рика.
В целом, ввиду возросшего интереса к России, значительно увеличилось число атак, сопровождающихся публикацией выгруженных данных, что ранее для отечественного ландшафта угроз было не свойственно, добавил Олег Скулкин. Одной из последних масштабных атак на информационные ресурсы России, сопровождающихся публикацией в сети внутренних данных компании, стал взлом видеосервиса Rutube 9 мая, в результате которого он оставался недоступен более двух суток. Были опубликованы скриншоты с внутренней переписки с госорганами, а также и данные аккаунтов (см. “Ъ” от 11 мая).
Большая часть хакерских группировок сфокусировалась на крупных компаниях, работающих в домене .ru, говорит руководитель отдела отраслевой экспертизы Softline Максим Хараск: «Хакеры создают простые шифровальщики для плохо защищенных компаний или разрабатывают новые для организаций со средствами защиты, применяя, например, таргетированные фишинговые рассылки и обходы блокировок».
Несмотря на то что основная цель злоумышленников, работающих с вирусами-шифровальщиками,— получение финансовой выгоды, цель новых атак скорее блокирование или усложнение доступа к данным жертвы, объясняет руководитель направления Application Security Softline Алексей Чупринин: «В зоне риска не только компании, потенциально способные заплатить выкуп, например из промышленности и финансов, но и структуры, атаки на которые могут вызвать общественный резонанс».