Чаще всего российский бизнес атакуют шифровальщики Dharma, Crylock, Thanos

Чаще всего российский бизнес атакуют шифровальщики Dharma, Crylock, Thanos

Чаще всего российский бизнес атакуют шифровальщики Dharma, Crylock, Thanos

Специалисты компании Group-IB проанализировали ландшафт киберугроз и выделили самые агрессивные программы-вымогатели, атакующие организации на территории России. В 2020-2021 годах наиболее активными шифровальщиками стали Dharma, Crylock и Thanos.

Как отметили исследователи, каждый из перечисленных выше вымогателей совершил более 100 кибератак на российский бизнес. Кроме того, в 2021 году число кампаний шифровальщиков увеличилось более чем на 200%, а максимально запрошенная сумма выкупа дошла до 250 миллионов рублей.

В общей сложности Dharma, Crylock и Thanos ответственны более чем за 300 киберинцидентов. Согласно опубликованной Group-IB инфографике, максимальный выплаченный вымогателям выкуп составил 40 млн рублей.

 

Основной причиной роста активности операторов шифровальщиков стало распространение модели «вымогатель как услуга» (Ransomware-as-a-Service). Именно на эту схему опираются Dharma, Crylock и Thanos. Более того, другие группировки — например, RTM — также начали использовать программы-вымогатели.

Изначально ориентируясь на кражу из систем ДБО, RTM страхуется дополнительным развёртыванием шифровальщика в сети жертвы. Если хищение по каким-то причинам не удалось, шифровальщик должен помочь получить средства организации.

Сумму выкупа операторы программ-вымогателей адаптируют под каждую жертву, это зависит от масштабов её бизнеса. По данным Group-IB, средняя сумма выплаченного выкупа составила три миллиона рублей, максимальная — 40 млн руб. Самый большой кусок пыталась урвать кибергруппировка OldGremlin — 250 млн руб.

Чаще всего шифровальщики проникают в сети жертв через скомпрометированные публично доступные терминальные серверы по протоколу RDP. Именно такой вектор атаки исследователи зафиксировали в 60% случаев. В 22% атак злоумышленники рассчитывали на фишинговые рассылки, а 14% киберинцидентов состоялись из-за уязвимостей в приложениях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Red Hat подтвердил утечку через GitLab, а не GitHub

Red Hat столкнулась с серьёзным киберинцидентом. Группа, называющая себя Crimson Collective, заявила о краже почти 570 ГБ данных из внутренних репозиториев компании. Изначально сообщалось о компрометации GitHub, но позже в Red Hat уточнили: речь идёт о взломе одной из GitLab-инстанций, которую использовали исключительно для консультационных проектов.

По данным злоумышленников, в числе похищенного — около 800 Customer Engagement Reports (CERs).

Это внутренние документы для клиентов, которые могут содержать конфигурации инфраструктуры, данные об аутентификации, токены доступа и другую чувствительную информацию. Среди упомянутых организаций — Bank of America, T-Mobile, Walmart, Costco, FAA, ВМС США и даже Палата представителей.

В Red Hat подтвердили сам факт инцидента, но заявили, что остальные сервисы и продукты компании не затронуты, а программная цепочка поставок остаётся в безопасности:

«Мы приняли необходимые меры реагирования и на данный момент не видим признаков, что это повлияло на другие сервисы Red Hat», — отметили в компании.

По словам хакеров, доступ был получен примерно две недели назад. Они утверждают, что нашли в коде Red Hat токены, базы данных и другие конфиденциальные сведения, которые могли бы использовать для проникновения в инфраструктуру клиентов. Также группа опубликовала в Telegram списки якобы похищенных репозиториев и CER-документов.

Известно, что Crimson Collective пытались шантажировать Red Hat, но получили лишь формальный ответ с предложением оформить отчёт о найденной уязвимости через официальный канал.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru