По данным «Лаборатории Касперского», как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в четвёртом квартале 2022 года. За половиной из них стоят восемь крупных групп, деятельность которых была описана в аналитическом отчёте «Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков» команды Kaspersky Threat Intelligence. На текущий момент самыми активными остаются Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и BlackCat, причём две последние стали атаковать с осени 2021 года.
Наибольшее число атак было проведено LockBit: за весь период существования шифровальщика количество его жертв перевалило за тысячу. Среди целей группы — компании из отраслей авиации, энергетики, консультационных услуг. География жертв также разнообразна: США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы. Операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы. Для получения первоначального доступа чаще всего это протоколы RDP или средства эксплуатации уязвимости, для действий внутри сети — инструменты PsExec, Empire, Mimikatz.
«Программы-вымогатели продолжают оставаться одной из ключевых угроз. Мы проделали огромную аналитическую работу по этому типу зловредов и выявили, что их техники и тактики во многом совпадают и не меняются в течение долгого периода времени. В нашем отчёте собрана масса полезной информации для компаний, которая поможет им противостоять этой угрозе», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
Полную версию отчёта на русском языке можно прочитать здесь: https://go.kaspersky.com/ru-ransomware-report.
Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:
- не допускать возможность подключиться к службам удалённого рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
- оперативно устанавливать обновления для коммерческих VPN-решений, обеспечивающих подключение удалённых сотрудников и выступающих в качестве шлюзов в корпоративной сети;
- в соответствии с процессом, выстроенным в организации, оперативно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
- отслеживать перемещения по сети и передачу данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
- регулярно создавать резервные копии данных и в экстренной ситуации иметь возможность быстро получить доступ к ним;
- проводить обучение сотрудников правилам кибербезопасности, например с помощью платформы Kaspersky Automated Security Awareness Platform;
- применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony;
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal. Свободный доступ к базовым функциям открыт по сcылке https://opentip.kaspersky.com/.