Число атак на бизнес с помощью программ-вымогателей выросло втрое

В 2021 году количество атак с помощью программ-вымогателей на российские компании увеличилось на 200%, рассказали «РГ» в Group-IB. При этом максимальная сумма выкупа, которую запросили злоумышленники, составила 250 млн рублей.  Фото: Алексей Мальгавко/РИА Новости  Фото: Алексей Мальгавко/РИА Новости Фото: Алексей Мальгавко/РИА Новости

Исследователи отмечают, что наиболее популярными программами-вымогателями являются Dharma, Crylock и Thanos — в общей сложности на них приходится более 300 атак. Главной причиной популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service ("Вымогательство как услуга"). Другие группы, как например, RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире "ставки" значительно выше — вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в 240 млн долларов.

"Ни в коем случае не следует платить выкуп, — отмечает Луис Корронс, ИБ-евангелист компании Avast. — Это не только поддерживает бизнес создателей программами-вымогателей, но и не дает гарантию того, что высланный ключ дешифрования будет работать. Плюс, известны случаи, когда ключ для расшифровки был выдан жертве значительно позже. Поэтому рекомендуется хранить файлы в офлайн-режиме, чтобы не заразить другие устройства. Во-вторых, сделанный бэкап решает подобные проблемы гораздо быстрее и легче".

Если же заражение произошло, важно локализовать всех зараженных пользователей и отсоединять их от общей сети, добавляет Петр Куценко, руководитель направления Solar webProxy компании "Ростелеком-Солар". "После чего — планомерно восстанавливать компьютер пользователя и возвращать в сеть предприятия".

Специалист также рекомендует периодически проводить аудит защищенности инфраструктуры — как минимум, проверять актуальность настроек системы и знаний пользователя о безопасном поведении в сети.

Источник