Больше материалов: Boosty | TG

В ежеквартальном отчёте Air IT об угрозах

подчёркивается, что атаки программ-вымогателей, фишинг
и инсайдерские угрозы по-прежнему представляют
значительные риски, при этом резкий рост объёма данных
и расширение уязвимостей глобальной сети. В отчёте
ISACA о состоянии кибербезопасности за 2023 год указано,
что 48% организаций столкнулись с ростом кибератак в 4
квартале 2023 года.
В отчёте TechTarget о тенденциях в области программ-
вымогателей на период до 2024 года говорится, что атаки на
цепочки поставок и использование облачной и VPN-
инфраструктуры по-прежнему будут оставаться
ключевыми тенденциями. В отчёте также упоминается, что
с 2020 года было обнаружено более 130 различных
штаммов программ-вымогателей, причём наиболее
распространённым является семейство GandCrab family
being the most prevalent.
Отчёт Trend Micro о программах-вымогателях за первую
половину 2023 года показал, что LockBit, BlackCat и Clop
были ведущими группами RaaS, при этом число
организаций-жертв значительно увеличилось по сравнению
со второй половиной 2022 года.
Исследование Check Point Research описало 2023 год как
Аннотация – Анализ тенденций в области программ- год масштабных атак программ-вымогателей с переходом
вымогателей за 4 квартал 2023 года направлен на понимание от тактики шифрования к использованию украденных
многогранного ландшафта угроз, связанных с программами-
данных для вымогательства. Сектор образования и
вымогателями и произошедших изменений.
исследований в наибольшей степени пострадал от атак
С учётом специфики можно определить особенности программ-вымогателей в 2023 году.
операций, совершаемых с использованием программ-
II. ВОЗДЕЙСТВИЕ НА ОТРАСЛИ
вымогателей, включая идентификацию доминирующих групп
программ-вымогателей, их целевых секторов и В 4 квартале 2023 года отраслями, наиболее
географического распределения атак. пострадавшими от атак программ-вымогателей, были
сектор бизнес-услуг, сектор образования / исследований и
Кроме того, анализ выявит важные тенденции, такие как сектор розничной / оптовой торговли.
рост числа инцидентов с программами-вымогателями,
эволюция тактики вымогательства и последствия этих Сектор бизнес-услуг США был наиболее уязвимым
изменений для стратегий кибербезопасности. сектором по данным Cyberint.
Сектор образования и исследований также сильно
Эти знания будут полезны как для специалистов в области
технической, так и стратегической безопасности, предлагая
пострадал от атак программ-вымогателей, на долю
информацию, которая может направлять разработку которых, по данным Check Point Research, пришлось 22%
надёжных механизмов защиты, информировать о решениях всех атак в 2023 году.
по управлению рисками и, в конечном счёте, повышать По данным Check Point Research, еженедельный рост
устойчивость организаций к постоянно присутствующей числа атак в секторе розничной и оптовой торговли
угрозе программ-вымогателей. составил 22% по сравнению с 2022 годом.
I. ВВЕДЕНИЕ Другие отрасли, которые были заметно затронуты,
2023 год стал самым успешным годом для групп включают ИТ, здравоохранение и производственный
программ-вымогателей в истории: в общей сложности 4368 сектор, которые, по данным Trend Micro, были наиболее
жертв, что на 55,5% больше, чем в предыдущем году. уязвимыми с точки зрения обнаружения файлов-
Только в четвёртом квартале число жертв составило 1386 вымогателей в первой половине 2023 года. В отчёте
человек, что указывает на постоянное влияние программ- TechTarget также перечислены несколько отраслей в
вымогателей на отрасль. качестве приоритетных целей, включая строительство и
недвижимость, правительственны учреждения, СМИ,
В 4 квартале 2023 года наиболее распространённые развлечения и досуг, местные и федеральные органы
типы атак программ-вымогателей в основном власти, энергетическую и коммунальную инфраструктуру,
осуществлялись тремя группами: LockBit 3.0, Clop транспорт, финансовые услуги, а также профессиональные
Ransomware и ALPHV / BlackCat ransomware. LockBit 3.0 и отдельно юридические услуги.
оставалась самой активной группой программ-
вымогателей, заявляя в среднем о 23 жертвах в неделю.
 Больше материалов: Boosty | TG
III. КЛЮЧЕВЫЕ МОМЕНТЫ Q4 Monero, набирают популярность в качестве
Основные выводы из тенденций в области программ- предпочтительного способа оплаты для
вымогателей в 4 квартале 2023 года заключаются в киберпреступников. Этот сдвиг произошёл из-за
следующем: возрастающей простоты обнаружения потока и источников
биткоина.
• Рекордное количество жертв: 2023 год стал самым
Несмотря на распространённость выплат с целью
успешным годом для групп программ-вымогателей
получения выкупа, доля жертв, которые платили выкупы,
в истории: в общей сложности 4368 жертв, что на
снижалась. Только 37% жертв программ-вымогателей
55,5% больше, чем годом ранее. Только в четвёртом
заплатили выкуп в 4 квартале 2023 года, что является
квартале было зафиксировано 1386 жертв
рекордно низким показателем. Снижение было связано с
• Доминирующие группы программ-вымогателей: улучшением мер безопасности и инвестициями в
LockBit 3.0 оставалась самой активной группой непрерывность резервного копирования, что позволило
программ-вымогателей, заявляя в среднем о 23 большему количеству организаций восстанавливаться
жертвах в неделю. Также были заметны программы- после атак без выплаты выкупов.
вымогатели Clop и ALPHV / BlackCat, жертвами Средний платёж за выкуп в 4 квартале 2023 года был
которых стали 104 и 81 человек соответственно значительно высоким: средний платёж составил 408 643
• Громкие инциденты: Известные инциденты доллара, что на 58% больше, чем в 3 квартале 2022 года, а
включали атаку LockBit на Royal Mail и отключение средний платёж составил 185 972 доллара, что на 342%
программы-вымогателя Hive больше, чем в 3 квартале 2022 года. Увеличение сумм
платежей было расценено киберпреступниками как тактика
• Влияние на отрасль: Сектор бизнес-услуг, сектор компенсации сокращающегося числа жертв, готовых
образования / исследований и сектор розничной / платить выкупы.
оптовой торговли были одними из наиболее
пострадавших от атак программ-вымогателей V. ТОЧКИ ВХОДА ПРОГРАММ-ВЫМОГАТЕЛЕЙ
• Географический фокус: главной мишенью стали В 4 квартале 2023 года наиболее распространёнными
США, за ними следуют Великобритания и Канада точками входа для атак программ-вымогателей были:

• Тенденции в методах атак: Произошёл сдвиг в • Фишинговые атаки: Фишинговые атаки были
тактике от шифрования к использованию основным методом доставки программ-
украденных данных для вымогательства, при этом вымогателей, при этом 62% успешных атак
злоумышленники больше внимания уделяли краже программ-вымогателей использовали фишинг в
данных и кампаниям по вымогательству, которые не качестве точки входа в систему жертвы. Число
обязательно включали шифрование данных фишинговых атак выросло на 173% в третьем
квартале 2023 года. Злоумышленники использовали
• Программа-вымогатель как услуга (RaaS): RaaS все более изощренные методы социальной
остаётся ключевым фактором атак, и такие группы, инженерии, чтобы обманом вынудить сотрудников
как LockBit, работают по этой модели предоставлять конфиденциальную информацию
• Тактика вымогательства: Двойные и тройные • Использование уязвимостей: Уязвимости в
атаки с целью вымогательства становятся все более программном обеспечении и системах были ещё
распространёнными и потенциально более одной распространённой точкой входа. Например,
результативными, и дорогостоящими для группа программ-вымогателей CL0P использовала
пострадавших компаний программное обеспечение для передачи файлов
GoAnywhere. Два новых вида программ-
• Chain-Атаки: chain-атаки стали неотъемлемой
вымогателей, CACTUS и 3AM, появились в
частью ландшафта угроз, связанных с программами-
четвёртом квартале 2023 года, причём CACTUS
вымогателями, распространяя воздействие атак не
использовал известные уязвимости в устройствах
только на отдельных жертв
VPN
IV. ПЛАТЁЖНЫЕ ИНСТРУМЕНТЫ ПРОГРАММ- • Кража учётных данных и атаки методом грубой
ВЫМОГАТЕЛЕЙ силы: Кража учётных данных использовалась в 44%
В 4 квартале 2023 года наиболее распространёнными успешных атак программ-вымогателей, а учётные
способами оплаты, используемыми при атаках программ- данные методом грубой силы, такие как подбор
вымогателей, по-прежнему оставались криптовалюты, пароля, использовались в 17% атак
причём наиболее распространённым был биткоин. На
биткойн приходилось примерно 98% платежей программ- • Атаки на цепочки поставок: Злоумышленники
вымогателей из-за его предполагаемой анонимности и нацеливались на сторонних поставщиков, чтобы
простоты использования. Однако появились первые получить доступ к сети организации.
признаки того, что цифровые валюты, более
ориентированные на конфиденциальность, такие как
 Больше материалов: Boosty | TG
• Инсайдерские угрозы: Инсайдерские угрозы эксплуатируемых уязвимостей была уязвимость
продолжали представлять значительные риски для двухлетней давности, для которой примерно в то же время
организаций было доступно исправление. Это подчёркивает важность
своевременного управления исправлениями и контроля
• Атаки социальной инженерии: Атаки социальной версий в организациях.
инженерии, включая компрометацию деловой
электронной почты (BEC), также были Кроме того, злоумышленники использовали уязвимость
распространёнными в программном обеспечении MagicLine4NX,
затрагивающую версии до 1.0.026, для инициирования
VI. МЕТОДЫ ШИФРОВАНИЯ ПРОГРАММ-ВЫМОГАТЕЛЕЙ своих атак. Уязвимость MOVEit также была значительной,
Методы шифрования, используемые в этих атаках, составляя значительный процент жертв в предыдущих
эволюционировали с течением времени, и кварталах, и вполне вероятно, что такие уязвимости
злоумышленники используют сочетание симметричных и оставались мишенью для групп программ-вымогателей.
асимметричных методов шифрования для повышения В 2023 году также произошёл всплеск использования
эффективности своих атак. При таком подходе программа- эксплойтов нулевого дня при атаках программ-
вымогатель генерирует два набора ключей, и для вымогателей, которые представляют собой уязвимости,
повышения эффективности атаки используется цепочка неизвестные поставщику программного обеспечения или не
шифрования. имеющие доступного исправления на момент атаки. Эта
В дополнение к этим методам шифрования произошёл тенденция использования уязвимостей нулевого дня
заметный сдвиг в стратегиях выполнения атак программ- подчёркивает адаптивность субъектов киберугроз и
вымогателей. Киберпреступники все чаще необходимость для организаций укреплять свою защиту от
сосредотачиваются на краже данных, за которыми следуют таких возникающих угроз.
кампании по вымогательству, которые не обязательно
IX. СПОСОБЫ ПРЕДОТВРАЩЕНИЯ АТАК ПРОГРАММ-
включают шифрование данных.
ВЫМОГАТЕЛЕЙ
VII. СПОСОБЫ ДОСТАВКИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ В 4 квартале 2023 года наиболее эффективные способы
В 4 квартале 2023 года наиболее распространёнными предотвращения атак программ-вымогателей были
методами доставки, используемыми при атаках программ- многогранными, включающими сочетание технических
вымогателей, были атаки по цепочке поставок, методы мер, обучения пользователей и упреждающих стратегий:
двойного вымогательства и воздействия "Программа- • Резервное копирование данных: Регулярное
вымогатель как услуга" (RaaS). резервное копирование данных является важным
Атаки на цепочки поставок стали надёжным методом шагом в смягчении последствий атаки программ-
для зрелых и опытных групп программ-вымогателей. В этих вымогателей. Решение для резервного копирования
атаках вместо прямого нападения на единственную жертву данных может гарантировать, что даже если данные
злоумышленники нацеливаются на сторонних зашифрованы программой-вымогателем,
поставщиков, чтобы получить доступ к сети организации. организация сможет восстановить свои системы без
необходимости платить выкуп
Двойное вымогательство было ещё одним
распространённым методом. С помощью этого метода • Обучение кибератакам: Обучение сотрудников
злоумышленники не только шифруют данные жертвы, но и распознавать потенциальные угрозы вымогателей и
угрожают утечкой украденных данных, если выкуп не избегать их, такие как фишинговые электронные
будет выплачен. письма и вредоносные вложения, может
значительно снизить риск успешных атак
Операции с программами-вымогателями как услугой
(RaaS) также сыграли значительную роль. В RaaS • Управление исправлениями: Регулярное
разработчики создают программное обеспечение- обновление и исправление программного
вымогатель и продают доступ к этому инструменту обеспечения может устранить известные
преступникам, которые затем распространяют его среди уязвимости, которые могут использовать
потенциальных целей. Доступ осуществляется на основе программы-вымогатели
подписки, поэтому он называется RaaS.
• Расширенное предотвращение угроз:
Фишинг с вредоносными вложениями и эксплуатация Автоматизированные системы обнаружения и
уязвимостей, таких как уязвимости нулевого дня, также предотвращения угроз могут выявлять и устранять
использовались в качестве методов начального доступа к большинство атак программ-вымогателей до того,
целевой системе как они нанесут значительный ущерб
VIII. УЯЗВИМОСТИ, ИСПОЛЬЗУЕМЫЕ ПРИ АТАКАХ • Защита конечных устройств: Надёжные решения
ПРОГРАММ-ВЫМОГАТЕЛЕЙ для обеспечения безопасности конечных устройств,
включая антивирус и программное обеспечение для
В четвёртом квартале 2023 года злоумышленники- защиты от вредоносных программ, могут
вымогатели продолжали использовать ряд уязвимостей для
компрометации организаций. Одной из наиболее заметных
 Больше материалов: Boosty | TG
обнаруживать и блокировать угрозы, связанные с безопасности, затрудняя злоумышленникам доступ
программами-вымогателями к системам
• Сегментация сети: Разделение сети на отдельные • Доступ с наименьшими привилегиями:
сегменты может предотвратить распространение Обеспечение пользователям минимальных уровней
программ-вымогателей по всей системе доступа, необходимых для выполнения их задач,
может ограничить потенциальный ущерб от атаки
• Модель безопасности с нулевым доверием: программ-вымогателей
Внедрение модели с нулевым доверием, при
которой доступ к ресурсам предоставляется только • Белый список приложений: Разрешение запускать
после успешной проверки пользователем своей в системе только одобренные приложения может
личности, может снизить вероятность атаки предотвратить выполнение программ-вымогателей.
программ-вымогателей
• Многофакторная аутентификация (MFA):
Внедрение MFA может повысить уровень