Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Компания Arete назвала ТОП-5 самых опасных вымогательских банд 2023 года

21/08/23

hack30-Aug-21-2023-08-37-41-7457-AM

Специалисты по кибербезопасности из компании Arete опубликовали подробный отчёт о разнообразных тенденциях и изменениях в ландшафте вымогательских операций за этот год.

Согласно данным исследователей, среднее значение денежного выкупа, которое сейчас требуют вымогатели, составляет 600 тысяч долларов. Примечательно, что в конце прошлого года это значение было примерно в два раза меньше, пишет Securitylab.

Тем не менее, несмотря на то, что аппетиты киберпреступников продолжают расти, процент инцидентов, в результате которых был выплачен выкуп, снизился до 19% в первой половине 2023 года по сравнению с 29% во второй половине прошлого года.

Снижение числа выплат частично объясняется увеличением числа атак, при которых осуществляется только похищение данных, без шифрования (все помнят инцидент с MoveIT Transfer?).

Кроме того, даже в случае шифрования данных компании постепенно расширяют свои возможности по восстановлению нормальной работы без уплаты выкупа. Во многом благодаря резервному копированию.

Также в Arete назвали ТОП-5 вымогательских группировок по количеству и качеству атак, далее поговорим о них.

LockBit — 18,7% наблюдаемых случаев

Хакеры LockBit удерживают первенство в сфере кибервымогательства уже не первый год, во многом из-за постоянного совершенствования своих собственных программных инструментов для шифрования данных, а также крупной сети партнёров-аффилиатов.

Группировка обычно использует технику двойного, а иногда и тройного вымогательства, запуская DDoS-атаки на сеть жертвы. Разумеется, сайты утечек в даркнете также используются в качестве дополнительного рычага давления.

Кроме того, участники LockBit часто прибегают к услугам брокеров начального доступа (IAB), чтобы ускорить проведение атак и поразить как можно большее число компаний.

ALPHV / Blackcat — 18,7% наблюдаемых случаев

Данная группировка возникла в конце 2021 года и нацелена на организации из различных секторов и регионов. Хакеры Blackcat также самостоятельно разрабатывают и поддерживают свой вредоносный софт, демонстрируя постоянные инновации в области вариативности полезных нагрузок и уклонения от обнаружения.

ALPHV / Blackcat использует различные точки входа для заражения сети жертвы, включая фишинговые электронные письма, скомпрометированные учётные данные и атаки методом перебора по протоколу удалённого рабочего стола (RDP).

Хакеры Blackcat нацелены как на машины под управлением Windows и Linux, так и на устройства NAS, которые часто используются для хранения резервных копий и конфиденциальных данных.

Black Basta — 12,9% наблюдаемых случаев

Эта киберпреступная организация возникла в конце 2021 года. Она предлагает сторонним хакерам вымогательский софт собственной разработки по модели RaaS, а значит любой желающий может использовать инфраструктуру Black Basta для запуска собственных атак. Тактика двойного вымогательства довольно часто используется операторами данного софта.

Доставка вредоноса осуществляется в основном через рассылку фишинговых электронных писем с вредоносными вложениями или ссылками.

Royal – 12,9% наблюдаемых случаев

В кругу исследователей считается, что вымогатели Royal, активные с сентября 2021 года, действуют как закрытая группа, а не как поставщик RaaS. Прежде чем разработать свой собственный шифровальщик, Royal использовала готовые варианты.

У группы нет каких-либо явных предпочтений по сектору или размеру атакуемой организации. Эти хакеры без колебаний шифруют данные любых организаций (и даже целых городов), удаляют учётные данные, распределяются по всему домену системы и шифруют конечные устройства.

Набор инструментов группы состоит из фишинговых писем с вредоносными вложениями или ссылками, украденных паролей, хакерских инструментов для доступа к сетям жертв, вредоносной рекламы и т.п. Группа также часто использует инструмент Cobalt Strike для поддержания своего постоянства в системе жертв.

Akira – 12,26% наблюдаемых случаев

Это относительно новая банда, первая вымогательская атака которой произошла в начале апреля 2023 года. Однако многие эксперты уверены, что группировка образована выходцами из знаменитой Conti.

Группа быстро накапливала жертв в течение первой половины 2023 года. Нацеливается Akira в основном на образовательный сектор, сферу профессиональных услуг, розничную торговлю, гостиничный бизнес, здравоохранение и производственные организации, в первую очередь в Канаде и США.

Группировка отличается своей гибкостью в ведении переговоров, обычно предлагая своим жертвам сразу несколько вариантов урегулирования вопроса. А сайт утечки группировке выполнен в интересной ретро-стилистике .

Дешифратор Akira не отличается высокой надёжностью, исследователи из Avast в конце июня даже выпустили дешифратор . Однако группа определённо находится только в начале своего пути, рано или поздно она доработает своё программное обеспечение.

Темы:РейтингиПреступленияВымогатели2023Arete
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...