Исследование: хакеры-одиночки наращивают атаки, избегая ассоциаций с крупными группировками
09/08/24
Согласно отчету компании Coveware, во втором квартале 2024 года число атак без явной привязки к конкретному бренду вымогательского ПО значительно возросло. Обычно такие атаки можно легко распознать по типу шифровальщика, записке с требованием выкупа или сайту в сети TOR. Однако в более чем 10% расследуемых инцидентов таких признаков не было. Это связано с тем, что некоторые преступники предпочитают действовать независимо, так называемые «одинокие волки». Содержание отчёта опубликовали Securitylab.
Преступники всё чаще меняют бренды вымогательского ПО или действуют без привязки к конкретному бренду, чтобы скрыть свою личность. В современном мире кибервымогательства преступники обычно используют один бренд, но если хакеры атакуют чувствительные и крупные цели, например, больницы или большие компании, они стараются минимизировать риски. Высокий профиль жертвы может привлечь внимание к группировке и увеличить интерес правоохранительных органов.
Когда целый бренд вымогательского ПО ликвидируется, количество атак от независимых групп резко возрастает. Например, после развала групп BlackCat/ALPHV и Lockbit наблюдался рост атак от групп BlackSuit, RansomHub, Medusa и других. Методы и процедуры атак часто совпадали с теми, что использовали ликвидированные бренды, что указывает на переход участников на новые платформы.
Некоторые преступники предпочитают оставаться независимыми, но используют инфраструктуру известных брендов. Например, они могут арендовать сайт для утечки данных, чтобы угрожать жертве, или использовать чужой шифратор. Во втором квартале члены группы Scattered Spider использовали шифратор группы Qilin.
Такие тенденции показывают, что предприятия должны сосредоточиться на методах атак, а не на брендах вымогательского ПО. Сектора безопасности и СМИ часто акцентируют внимание на «брендах», чтобы сделать истории более интересными, но это отвлекает от более важных аспектов – методов атак.
Во втором квартале 2024 года средняя сумма выкупа слегка увеличилась до $391 015, а медианная сумма снизилась до $170 000. Увеличилось и количество случаев, когда компании выбирали оплату выкупа, особенно в случаях с утечкой данных.
Основными векторами атак остаются удалённые взломы и фишинг. Важную роль играют системы управления событиями безопасности (SIEM), которые помогают быстрее выявлять и изолировать начальный доступ.
Основные тактики преступников включают эксфильтрацию данных, боковое перемещение в сети и влияние на доступность или целостность бизнес-процессов. Хакеры используют Megasync и Rclone для эксфильтрации данных, и активно перемещаются по сети с помощью RDP и SSH.