Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» представили новый отчёт, в котором описываются недавние атаки, проведённые с помощью доступных в сети сборок программ-вымогателей. Такое вредоносное ПО позволяет злоумышленникам атаковать жертв без особой подготовки и является серьёзной угрозой.
Кибергруппы, занимающиеся вымогательством, часто используют собственные разработки программ-вымогателей, в то время как действующие в одиночку злоумышленники (обычно обладающие начальными навыками) часто используют для атак готовые версии шифровальщиков, уже доступные в сети. Многие исходные коды публикуются в открытом доступе или попадают в общий доступ в результате утечек.
Хотя кибергруппы, использующие готовый код программ-вымогателей, могут не обладать продвинутыми навыками, их атаки могут быть очень опасны из-за использования партнёрских схем и тщательного выбора жертвы. В последнее время программы-вымогатели стали доступнее для злоумышленников. С помощью готовых версий такого ПО и партнерских программ даже начинающие злоумышленники могут представлять серьёзную угрозу.
Так, в апреле 2024 года атаке программы-шифровальщика SEXi подверглась компания IxMetro, которая предоставляет услуги дата-центров и хостинга. Название зловреда и кибергруппы обыгрывало тот факт, что целью злоумышленников были гипервизоры ESXi. Использовались две модификации шифровальщика, созданные на основе утекших образцов вредоносного ПО: версия Babuk была нацелена на устройства на Linux, а версия LockBit — на Windows.
Злоумышленники из другой группы — Key Group — используют программы-шифровальщики из 8 разных семейств. Их методы и механизмы закрепления в системе совершенствовались с каждым новым вариантом. Несмотря на разнообразие методов, Key Group известна своими непрофессиональными действиями, включая использование общедоступного репозитория GitHub и мессенджера Telegram для коммуникаций внутри группы и связи с жертвами, что облегчает отслеживание.
Группа Mallox использует менее известный вариант шифровальщика, который впервые был замечен в 2021 году. Группа утверждает, что купила исходный код. В 2022 году эти злоумышленники запустили партнерскую программу, при этом сотрудничают они только с русскоязычными злоумышленниками — англоязычные партнеры их не интересуют. У них есть строгие требования к выбору организаций, которые должны атаковать их партнеры: это компании с прибылью не менее 10 млн долларов, исключая больницы и образовательные учреждения. В 2023 году у группы было 16 действующих партнеров.
Чтобы снизить риски, эксперты по информационной безопасности рекомендуют:
- использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы, в том числе сложные;
- ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра;
- проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.