Чаще всего российский бизнес атакуют шифровальщики Dharma, Crylock, Thanos

Екатерина Быстрова 25 Ноября 2021 - 12:54

Малый и средний бизнес

Корпорации

Group-IB

Программы-вымогатели

Программы-шифровальщики

Фишинг

Уязвимости программ

...

Чаще всего российский бизнес атакуют шифровальщики Dharma, Crylock, Thanos

Специалисты компании Group-IB проанализировали ландшафт киберугроз и выделили самые агрессивные программы-вымогатели, атакующие организации на территории России. В 2020-2021 годах наиболее активными шифровальщиками стали Dharma, Crylock и Thanos.

Как отметили исследователи, каждый из перечисленных выше вымогателей совершил более 100 кибератак на российский бизнес. Кроме того, в 2021 году число кампаний шифровальщиков увеличилось более чем на 200%, а максимально запрошенная сумма выкупа дошла до 250 миллионов рублей.

В общей сложности Dharma, Crylock и Thanos ответственны более чем за 300 киберинцидентов. Согласно опубликованной Group-IB инфографике, максимальный выплаченный вымогателям выкуп составил 40 млн рублей.

Основной причиной роста активности операторов шифровальщиков стало распространение модели «вымогатель как услуга» (Ransomware-as-a-Service). Именно на эту схему опираются Dharma, Crylock и Thanos. Более того, другие группировки — например, RTM — также начали использовать программы-вымогатели.

Изначально ориентируясь на кражу из систем ДБО, RTM страхуется дополнительным развёртыванием шифровальщика в сети жертвы. Если хищение по каким-то причинам не удалось, шифровальщик должен помочь получить средства организации.

Сумму выкупа операторы программ-вымогателей адаптируют под каждую жертву, это зависит от масштабов её бизнеса. По данным Group-IB, средняя сумма выплаченного выкупа составила три миллиона рублей, максимальная — 40 млн руб. Самый большой кусок пыталась урвать кибергруппировка OldGremlin — 250 млн руб.

Чаще всего шифровальщики проникают в сети жертв через скомпрометированные публично доступные терминальные серверы по протоколу RDP. Именно такой вектор атаки исследователи зафиксировали в 60% случаев. В 22% атак злоумышленники рассчитывали на фишинговые рассылки, а 14% киберинцидентов состоялись из-за уязвимостей в приложениях.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 19:49

Windows Домашние пользователи Корпорации Microsoft

Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров

Microsoft начала постепенно включать встроенную поддержку Sysmon в Windows 11, пока только для части пользователей программы Windows Insider. О планах интегрировать Sysmon напрямую в Windows компания рассказывала ещё в ноябре, а теперь первые элементы этой функциональности добрались до тестовых сборок.

Речь идёт о нативной реализации System Monitor — известного инструмента из набора Sysinternals, который давно используется ИБ-специалистами и администраторами для мониторинга подозрительной активности в системе.

Sysmon умеет отслеживать базовые события вроде запуска и завершения процессов, а при дополнительной настройке — фиксировать создание исполняемых файлов, попытки подмены процессов, изменения в буфере обмена и другие нетривиальные действия. Все события пишутся в журнал Windows Event Log и могут использоваться системами безопасности и SIEM-решениями.

До сих пор Sysmon приходилось устанавливать вручную на каждую машину, что заметно усложняло его использование в крупных инфраструктурах. Теперь Microsoft решила встроить этот механизм прямо в ОС.

«Windows теперь нативно включает функциональность Sysmon. Она позволяет собирать системные события для задач детектирования угроз и использовать собственные конфигурации для фильтрации нужных данных», — сообщили в команде Windows Insider.

При этом встроенный Sysmon по умолчанию отключён. Чтобы им воспользоваться, функцию нужно явно включить в настройках Windows или через PowerShell. Важно учитывать, что если Sysmon ранее устанавливался вручную, его придётся удалить перед активацией встроенной версии.

Новая возможность уже доступна участникам Windows Insider в каналах Beta и Dev, которые установили сборки Windows 11 Preview Build 26220.7752 и 26300.7733 соответственно.

В Microsoft подчёркивают, что события Sysmon по-прежнему пишутся в стандартный журнал Windows, поэтому их можно использовать в существующих цепочках мониторинга и реагирования.

Напомним, что в прошлом месяце компания также начала тестировать отдельную политику, позволяющую администраторам полностью удалять ИИ-ассистента Copilot с управляемых устройств.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »