День борьбы с шифровальщиками: "Лаборатория Касперского" представила отчёт о кибератаках с использованием программ-вымогателей

12 мая — международный День борьбы с шифровальщиками. В преддверии этой даты "Лаборатория Касперского" публикует ежегодный глобальный отчёт об атаках программ-вымогателей

Эксперты "Лаборатории Касперского" проанализировали атаки шифровальщиков по всему миру. Согласно данным Kaspersky Security Network, в 2024 году самая высокая доля таких инцидентов была зафиксирована на Ближнем Востоке. Наиболее низкие показатели наблюдаются в Европе. По всему миру доля пользователей, столкнувшихся с атаками шифровальщиков, с 2023 года по 2024 год выросла на 0,02 п.п., до 0,44%. Эксперты отмечают, что в процентном выражении количество инцидентов держится на относительно невысоком уровне, поскольку злоумышленники зачастую не распространяют такие вредоносы массово, а атакуют только выгодные им мишени.

День борьбы с шифровальщиками был объявлен 12 мая 2020 года по инициативе Интерпола и "Лаборатории Касперского". Его цель — повышать осведомлённость об угрозах, которые несут программы-вымогатели, а также продвигать лучшие практики, помогающие предотвращать подобные атаки и реагировать на них. Дата выбрана неслучайно: 12 мая 2017 года достигла своего пика самая масштабная "эпидемия" шифровальщика в истории — WannaCry.

Ближний Восток и Азиатско-Тихоокеанский регион. Высокая доля инцидентов в этих регионах связана с быстрой цифровой трансформацией и разным уровнем зрелости стран в области кибербезопасности. Крупные предприятия в Азиатско-Тихоокеанском регионе часто подвергаются целевым атакам, которые в основном направлены на бизнес, в том числе промышленный сектор. Главным образом это касается стран с растущей экономикой и государств, где законодательство в области информационной безопасности только начинает развиваться.

Африка. Шифровальщики меньше атакуют пользователей в Африке из-за низкого уровня цифровизации и особенностей местной экономики — благодаря этим факторам количество потенциально интересных целей для злоумышленников остаётся на невысоком уровне. Однако в некоторых странах, таких как ЮАР и Нигерия, число атак с использованием программ-вымогателей растёт. Особенно это заметно в производственном, финансовом и государственном секторах. При этом не все организации достаточно осведомлены о киберугрозах и обладают необходимыми ресурсами для защиты.

Латинская Америка. В этом регионе чаще всего с шифровальщиками сталкиваются Бразилия, Аргентина, Чили и Мексика. Атакам подвергаются производственный и госсектор, предприятия аграрно-промышленного комплекса, а также энергетика и ритейл. При этом местные организации представляют меньший интерес для злоумышленников из-за локальных экономических условий — суммы потенциального выкупа могут быть не очень большими. Тем не менее вероятность кибератак с использованием программ-вымогателей увеличивается, поскольку компании активно внедряют цифровые технологии.

Россия и СНГ. В регионе активно действуют хактивистские группы, такие как Head Mare и Twelve. Для атак на организации они в том числе используют программы-вымогатели, например LockBit 3.0. Приоритетные цели злоумышленников — сфера производства, госсектор и ритейл.

Европа. Европейские страны тоже сталкиваются с угрозой программ-вымогателей, при этом часто целью кибератак становятся производственные предприятия, госучреждения и организации из сферы образования. Зрелое законодательство в области ИБ, грамотное реагирование на инциденты, осведомлённость о киберугрозах, использование надёжных систем защиты и диверсификация экономики — всё это помогает противостоять шифровальщикам в регионе.

Ключевые тенденции атак с использованием программ-вымогателей

Злоумышленники всё чаще применяют искусственный интеллект для разработки шифровальщиков. Это подтверждает пример группы FunkSec, которая появилась в конце 2024 года и быстро получила известность. FunkSec работает по модели "шифровальщик как услуга" (Ransomware-as-a-Service, RaaS) и использует тактику двойного вымогательства: в этом случае шифрование данных сочетается с их кражей. Среди целей группы — организации из госсектора, а также сфер ИТ, финансов и образования в Европе и Азии. FunkSec известна тем, что активно применяет инструменты на основе ИИ. В частности, в коде шифровальщика, разработанного группой, содержатся комментарии, вероятно, сгенерированные с помощью больших языковых моделей (LLM). Таким образом злоумышленники стремятся улучшить процесс разработки и избежать обнаружения. В отличие от групп, традиционно требующих миллионные выкупы, FunkSec использует массовый подход и вымогает у жертв небольшие суммы.

Доходы от программ-вымогателей падают, хотя средняя сумма выкупа за восстановление доступа к данным растёт. По данным аналитической компании Chainalysis, в 2024 году злоумышленники с помощью шифровальщиков заработали меньше денег: они получили всего около 813 миллионов долларов США по сравнению с рекордом в 1,25 миллиарда долларов США в 2023 году. При этом средняя сумма выкупа увеличилась в полтора раза — до 4 миллионов долларов США, сообщается в отчёте разработчика Sophos. Эта динамика подтверждает, что атакующие выбирают более крупные предприятия. В Sophos также отмечают, что в 2024 году выросло число организаций, которые заплатили выкуп. Хотя другие аналитические компании пришли к противоположному выводу: пострадавшие стали менее охотно реагировать на требования злоумышленников. Например, по данным Coveware, в последнем квартале 2024 года доля атакованных компаний, которые решили заплатить выкуп за восстановление данных, сократилась и достигла рекордно низких 25%. Годом ранее показатель составил 29%. Эта динамика объясняется более активными действиями правоохранительных органов, повышением уровня кибербезопасности и регулированию, которое препятствует выплатам в пользу злоумышленников.

По-прежнему преобладает модель RaaS. Она помогает атакующим преодолеть технические барьеры и способствует распространению шифровальщиков. В 2024 году такие группы, как RansomHub, успешно предлагали вредоносное ПО, техподдержку и партнёрские программы с возможностью разделить выкуп. Модель RaaS позволяет злоумышленникам, не обладающим серьёзными техническими навыками, проводить сложные атаки. Это в том числе привело к появлению множества новых групп в 2024 году.

Программы-вымогатели будут развиваться за счёт эксплуатации нестандартных уязвимостей. Наглядный пример — группа Akira, которая провела атаку с помощью шифровальщиков через веб-камеру. Это устройство использовалось, чтобы обойти системы обнаружения и проникнуть во внутренние сети. Злоумышленники, вероятно, чаще будут целиться в точки входа, которым не всегда уделяется достаточно внимания с точки зрения кибербезопасности. К ним можно отнести IoT-устройства, умные гаджеты или неправильно настроенное оборудование на рабочем месте. По мере того как организации будут внедрять новые средства защиты, группы станут менять свои тактики. Особое внимание будет уделяться скрытой разведке и горизонтальному перемещению внутри сети, что позволит атакующим более точно развёртывать программы-шифровальщики. Это затруднит обнаружение зловредов и своевременное реагирование на угрозы.

"Программы-шифровальщики входят в число самых серьёзных киберугроз для организаций. С помощью вымогателей злоумышленники атакуют компании разных размеров по всему миру. Одна из наиболее тревожных тенденций, о которых говорится в отчёте, — использование нестандартных точек входа. Зачастую их защите не уделяется достаточно внимания, что привлекает внимание злоумышленников. Чтобы обеспечить безопасность, организациям необходим эшелонированный подход: использование современных защитных систем, сегментация сети, мониторинг в режиме реального времени, резервное копирование данных, а также постоянное обучение сотрудников основам кибербезопасности. Повышать осведомлённость о киберугрозах так же важно, как и инвестировать в защитные технологии", — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.

Чтобы противостоять шифровальщикам, "Лаборатория Касперского" также рекомендует организациям:

• регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
• в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
• создавать резервные копии данных офлайн, в которые атакующие не смогут внести изменения. Важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента;
• предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов;
• использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
• проводить тренинги по кибербезопасности для сотрудников. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform.