Хакеров, шифрующих бизнес за выкуп, стало в 3 раза больше

Хакеров, шифрующих бизнес за выкуп, стало в 3 раза больше

Хакеров, шифрующих бизнес за выкуп, стало в 3 раза больше

Утроилось количество кибератак, целью который становятся деньги. Чаще всего злоумышленники шифруют магазины, производства и страховые компании. В 70% случаев бизнес оказался не готов к таким атакам.

Исследование по киберинцидентам в России за 2022 год публикует лаборатория цифровой криминалистики компании Group-IB.

Основной вывод: количество кибератак финансово мотивированных хакеров увеличилось в 2022 году почти в три раза.

Самым популярным типом киберугроз стали взломы программ-вымогателей — на них пришлось почти 70% всех инцидентов.

Чаще всего жертвами шифровальщиков в прошлом году становились российские ретейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с финансовым сектором.

Phobos, CryLock и Sojusz вошли в тройку самых агрессивных групп программ-вымогателей в России за прошлый год.

Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. В среднем атакованная организация простаивала без работы 14-18 дней.

 

Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами. Такие атаки обычно не связаны с деньгами, остановка работы предприятия и общественный резонанс — уже сама по себе цель.

Кибердиверсии — отличительная черта 2022 года, подтверждают эксперты Group-IB. Этому способствовал геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit.

Впервые самой популярной техникой получения доступа в корпоративные сети стала эксплуатация уязвимостей публично доступных приложений. Ее применяли в 61% инцидентов (в прошлом году только 17%). Второе место удерживает фишинг — 22%, третья строчка за компрометацией служб удаленного доступа — 17%.

Фишинг пока рано списывать со счетов, предупреждают эксперты. К примеру, OldGremlin для атак на крупный российский бизнес традиционно использовала целевые почтовые рассылки, “заточенные” под потенциальную компанию-жертву.

Почти 70% исследованных атак завершались шифрованием данных. Злоумышленники могли использовать и легитимные программы, например, BitLocker от Microsoft.

Если хакеров интересовали данные, они сначала выгружали их с серверов атакованной компании, и только потом запускали шифровальщик на хостах.

“Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса”, — говорит генеральный директор Group-IB в России и СНГ Валерий Баулин.

По его словам, большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент.

В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно, отмечает Баулин.

Добавим, по данным “Лаборатории Касперского”, как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в конце 2022 года. Самыми активными остаются группировки Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и BlackCat.

Накануне Kaspersky выпустили свое объемное исследование, в котором раскрываются схемы ведения бизнеса в даркнете. Всё чаще к совершению таких сделок привлекают эскроу-агентов (независимых гарантов), а арбитражем споров становится администратор теневого форума.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru