Издание «КоммерсантЪ» поделилось результатами исследования «Лаборатории Касперского» на тему развития хакерских атак с помощью вирусов-шифровальщиков. Эти программы после внедрения в систему зашифровывают важные файлы, после чего сообщают пользователю о необходимости внесения денежной суммы для приведения файлов в исходное состояние.
По данным отчета, в 2022 году хакеры сворачивают массовые рассылки вирусов-шифровальщиков, и больше проводят направленных атак, используя более сложное программное обеспечение (ПО).
Эксперты «Лаборатории Касперского» не отметили серьезного увеличения количества атак в сравнении с предыдущим годом, уточняя, что изменения происходили на техническом уровне. Однако в компании Group-IB сообщили о том, что число атак с участием вирусов, требующих выкуп, увеличилось в три раза.
Основным фактором увеличения количества и изменения техники атак является российская спецоперация, проводимая на территории Украины. В течение короткого времени с момента начала военных действий хакерские группировки разделились на две стороны, поддерживающие российское или же украинское правительство. Кроме того, злоумышленники приступили к консолидации вирусов-шифровальщиков в единые платформы, что приводит к поражению большего количества систем. Коды, используемые хакерами, могут работать одновременно в различных операционных системах.
Например, группировка Conti, заявившая о своей поддержке российского правительства и пообещавшая суровые атаки на любых хакеров, пытающихся проводить мероприятия против России в сети, уже разработала версию вирусного ПО, ориентированную на ОС Linux – сообщили сотрудники «Лаборатории Касперского». Эксперты полагают, что расширение совместимости вирусного ПО логично на фоне распространения Linux-систем, появляющихся в качестве импортозамещения не только в России, но и в других странах.
В Group-IB также уверены, что хакеры-шантажисты не избежали разделения на два лагеря из-за геополитических причин. Например, после того, как группировка Conti сделала несколько заявлений о поддержке российской стороны, в открытом доступе оказались персональные данные её участников, логи переписки, а также исходный код используемого ею шифровальщика, на основании которого аналогичные программы начали использоваться уже против российских компаний. Хакеры из Conti считаются одними из максимально агрессивных, например, 9 мая, после их атаки, Коста-Рика сообщила о введении чрезвычайного положения в стране.
Если рассматривать, что изменилось в хакерских атаках по сравнению с периодом, предшествующим спецоперации, можно увидеть, что сейчас большое количество атак сопровождается публичным размещением украденных данных. До этого хакеры предпочитали продавать информацию, не выкладывая её в открытый доступ бескорыстно.
В качестве примера можно привести нашумевшее «падение» российского видеохостинга RuTube. Вследствие хакерской атаки, произведенной в районе семи утра 9 мая, сервис оставался недоступным для пользователей почти трое суток – о восстановлении работы сервиса компания сообщила только в девять вечера 11 мая. После хакерской атаки в открытом доступе оказалась внутренняя переписка с госорганами, и данные аккаунтов.
Наибольшее число хакерских группировок нацелено на крупные организации, использующие домен .ru. При этом преимущественно используются примитивные шифровальщики для компаний, не озаботившихся киберзащитой, а в случаях, когда кибербезопасность обеспечена, разрабатываются специальные средства, например, применяются обходы блокировок и таргетированные фишинговые рассылки.
В целом, можно отметить смену настроений хакеров: с финансовой выгоды многие переключились на блокирование или затруднение доступа к данным атакуемых организаций, при этом в качестве жертвы всё чаще выбираются не те компании, кто потенциально сможет заплатить существенные суммы, а различные организации, нападение на которых может вызвать максимальную реакцию общественности.