Group-IB: после 24 февраля число атак хакеров-вымогателей выросло в три раза
Центр кибербезопасности ФСБ рекомендовал российским компаниям подготовиться к хакерским атакам с использованием вирусов-шифровальщиков. Реакция Центра, по словам экспертов, вызвана возросшим числом атак хакеров, которые орудуют подобными вредоносными программами. С 24 февраля инцидентов стало в три раза больше. Кроме того эксперты отмечают, что вместе с частотой атак изменился и их характер. Если раньше операторы вирусов-шифровальщиков руководствовались финансовой выгодой, то сейчас возросла доля безвозвратных шифрований. Главная цель злоумышленников – дестабилизировать работу жертвы.
Предупрежден – вооружен
ФСБ предупредила российские компании о хакерских атаках с использованием программ-шифровальщиков. Соответствующее заявление и список мер противодействия атакам были опубликованы на сайте Национального координационного центра по компьютерным инцидентам (НКЦКИ), созданного ФСБ.
"Рекомендации содержат первоочередные и экстренные меры защиты от угроз. Первоочередные меры касаются базовых правил, которые следует применить организациям, чтобы повысить уровень защищенности. Экстренные меры позволяют существенно снизить риски проникновения злоумышленников в инфраструктуру компании", – гласит сообщение НКЦКИ.
Вирусы-шифровальщики – это тип вредоносных программ, которые, проникая на компьютеры, шифруют все доступные файлы. Зашифрованные файлы теряют свою функциональность, из-за чего парализуется и работа атакованного предприятия: оно теряет доступ к бухгалтерии, исследованиям, договорам и не только. Хакеры, которые распространяют вредоносы такого типа, требуют у компаний-жертв денежные выплаты за расшифровку файлов и восстановление деятельности предприятий. Таких киберпреступников называют вымогателями.
Данная публикация НКЦКИ вызвана тем, что все больше российских компаний последние недели сталкиваются с хакерскими атаками различной степени тяжести, рассказал "Газете.Ru" главный специалист аудита по информационной безопасности T.Hunter (компания, специализируется на защите информационных систем любой сложности) Владимир Макаров. По его словам, поводом для этого, скорее всего, стали недавние кибератаки на Wildberries, "Мираторг" и Росавиацию, которые связывают с деятельностью хакеров-вымогателей.
"НКЦКИ как главный орган по реагированию на практические инциденты выдал практические рекомендации. Подобным образом, например, поступает Банк России при противодействии каким-либо схемам мошенничества. Это своевременные меры, так как не во всех компаниях, как мы видим, могут адекватно оценить степень угрозы и воздействия хакерских атак в настоящее время", – объяснил он.
Аналогичные данные приводит и руководитель Лаборатории цифровой криминалистики Group-IB (одна из ведущих международная компания по предотвращению и расследованию киберпреступлений) Олег Скулкин.
"После 24 февраля мы фиксируем практически трехкратный рост числа атак хакеров-вымогателей", - отметил эксперт.
Мера НКЦКИ не в последнюю очередь связана с проведением массовых атак против рунета, добавил в свою очередь руководитель группы исследования угроз Positive Technologies (международная компания в сфере информационной безопасности) Денис Кувшинов.
"На хакерских форумах и в соцсетях массово публикуются призывы атаковать российские компании. При этом нередко даже перечисляются необходимые инструменты и расписываются инструкции. Чаще всего это обычный DDoS, однако есть более продвинутые хакеры-одиночки и хакерские группы, которые могут проникнуть внутрь сети организации. Чаще всего они нацелены на кражу данных, однако никто не гарантирует, что помимо кражи внутри сети компаний не будут запускаться шифровальщики", – сказал Кувшинов.
Новые мотивы
Хотя принято считать, что российские компании сталкиваются с хакерами-вымогателями реже, чем европейские и американские, эксперты отмечают, что говорить о новизне наблюдаемой тенденции не приходится.
"Их [атак] было довольно много и до этого. Согласно нашему исследованию, количество атак с использованием программ-вымогателей в России в 2021 году выросло более чем на 200%", – сказал Скулкин из Group-IB.
Новизна текущей ситуации, по его словам, заключается только в том, что некоторые недавние инциденты стали публичными. В России подавляющее большинство кибератак не афишируется.
Аналогичного мнения придерживаются эксперты и других ИБ-компаний. Впрочем, источник в одной из них подчеркнул, что в текущей волне хакерских атак с применением вирусов-шифровальщиков прослеживаются новые мотивы.
"Если ранее хакеры шифровали российские инфраструктуры с целью получить выкуп, то сейчас возросла доля безвозвратных шифрований, то есть без права выкупа ключей для восстановления файлов. Безусловно, сейчас цель злоумышленников – максимально вывести из строя российский бизнес", – объяснил источник.
Абсолютно все опрошенные эксперты сошлись в том, что рекомендации, опубликованные НКЦКИ, являются действенными, и их не стоит игнорировать - особенно ввиду ежедневно растущей активности киберпреступников, направленной против России.