В первой части отчета CyberProof об угрозах за 2025 год рассматривается резкий рост активности программ‑вымогателей, ставших в 2024 году одной из самых разрушительных форм кибератак. Анализ охватывает ключевые инциденты, пострадавшие отрасли — особенно здравоохранение — и новые тактики, включая сотрудничество APT‑групп с операторами ransomware и эволюцию методов вымогательства. Документ подчеркивает масштабы ущерба, рост финансовых потерь и растущую сложность угроз, формирующих киберландшафт будущего.
Программы‑вымогатели оказались одной из самых разрушительных киберугроз в 2024 году, нанеся масштабный ущерб отраслям и организациям по всему миру. В первом полугодии атаки с использованием программ‑вымогателей принесли киберпреступникам рекордный доход в размере 450 миллионов долларов, что отражает 10-процентный рост подтвержденных атак за год. По прогнозам, к концу года этот доход превысит показатель 2023 года, что свидетельствует о растущем финансовом и операционном ущербе от этих кампаний. Ниже мы рассмотрим ключевые тенденции и основные инциденты, которые определят ландшафт ransomware в 2024 году.
В ноябре 2024 года глобальная активность программ‑вымогателей достигла беспрецедентного уровня: на сайтах утечки данных было зарегистрировано 632 жертвы, что более чем в два раза превышает обычный среднемесячный показатель в 307 человек и превосходит предыдущий рекорд в 527 человек, установленный в мае, что свидетельствует о резком и продолжающемся росте числа инцидентов.
Тренд: Сектор здравоохранения в осаде
В 2024 году отрасль здравоохранения столкнулась со значительным ростом числа атак с использованием выкупного ПО, поскольку киберпреступники использовали критически важную роль этого сектора, зависимость от взаимосвязанных систем и зачастую устаревшие меры кибербезопасности. Конфиденциальный характер данных пациентов и необходимость бесперебойного оказания медицинских услуг сделали больницы, медицинские исследовательские центры и медицинские учреждения по всему миру главными мишенями для злоумышленников, стремящихся получить значительные выплаты и операционные рычаги.
67% медицинских организаций пострадали от атак вымогателей в прошлом году, что является четырехлетним максимумом с 2021 года.
Средняя стоимость восстановления медицинской организации после атаки ransomware выросла до 2,57 млн долларов в 2024 году по сравнению с 2,20 млн долларов в 2023 году.
Взлом системы Change Healthcare
Атака с использованием вымогательского ПО на Change Healthcare, осуществленная группой BlackCat/ALPHV, была охарактеризована представителями здравоохранения как один из самых масштабных инцидентов в области кибербезопасности в истории американского здравоохранения. Эта атака нарушила работу более 200 больниц по всей территории США, повредив биллинговые и платежные системы, задержав обработку заявок и поставив под угрозу обслуживание пациентов. Злоумышленники использовали уязвимости в ИТ‑инфраструктуре организации, получив первоначальный доступ через скомпрометированные учетные данные протокола удаленного рабочего стола (RDP). Попав внутрь, злоумышленники использовали методы бокового перемещения для повышения привилегий и развертывания вымогательского ПО в критически важных системах. Похитив 6 ТБ конфиденциальных данных о пациентах и финансах, злоумышленники получили доступ к медицинским картам и платежной информации, связанной с более чем 100 млн человек.
Обзор: ALPHV/BlackCat
BlackCat, также известная как ALPHV, — печально известная группировка, действующая с конца 2021 года через Ransomware‑as‑a‑Service (RaaS). Известна тем, что атакует высокопоставленных лиц. Фальшивое уведомление об уничтожении, опубликованное на сайте утечки ALPHV/BlackCat, 28 организаций в различных секторах. Группа особенно известна своей сложной тактикой двойного и тройного вымогательства, которая усиливает давление на жертв. Как сообщается, в декабре 2023 года группа была ликвидирована после активизации усилий правоохранительных органов, но вновь появилась в 2024 году, совершив громкую атаку на Change Healthcare. Вскоре после этого BlackCat якобы прекратила свою деятельность, что было вызвано предположениями о значительной выплате от жертвы. Несмотря на заявления о прекращении деятельности, считается, что BlackCat провела ребрендинг, потенциально объединившись или превратившись в других участников угроз, таких как RansomHub или Cicada3301.
Инцидент с вымогательством Synnovis
Атака с использованием вымогательского ПО на компанию Synnovis, ключевого поставщика диагностических услуг в Великобритании, вызвала значительные сбои в работе системы здравоохранения Лондона, в результате чего в течение недели было отменено более 800 операций. Злоумышленники использовали уязвимости в интеграциях сторонних поставщиков, первоначально получив доступ к сети через скомпрометированный механизм обновления программного обеспечения. Попав внутрь, они развернули программу‑вымогатель, которая зашифровала критически важные файлы в диагностических и лабораторных системах, остановив работу и сделав недоступной важную медицинскую диагностику. В результате атаки больницы были вынуждены отвлекать пациентов, откладывать лечение и переходить на ручные процессы, что привело к повсеместному хаосу в работе.
Эти инциденты свидетельствуют о разрушительном воздействии программ‑вымогателей на системы здравоохранения, нарушая работу и ставя под угрозу безопасность пациентов в значительных масштабах. Последствия таких атак выявляют критические уязвимости в подключенных инфраструктурах здравоохранения, когда нарушения в одной области могут парализовать работу всей сети.
Тренд: Сотрудничество между группами APT и Ransomware
В 2024 году государственные группировки APT все чаще сотрудничали с операторами выкупного ПО, объединяя технические знания APT с финансовыми мотивами участников выкупного ПО. Эти партнерства размывают границы между кибератаками, осуществляемыми по политическим мотивам, и традиционной киберпреступностью, создавая более сложные и многогранные угрозы. APT‑группы используют выкупное ПО как инструмент для разрушения и сбора средств.
Кампания Andariel по распространению вымогательского ПО «Play»
В середине 2024 года северокорейская группировка Andariel начала кампанию вымогательского ПО, используя вариант вымогательства «Play» (один из самых распространенных примеров вымогательства в 2024 году) для атак на медицинские учреждения и транспортные системы в США и Южной Корее. Злоумышленники проникали в системы, используя непропатченные уязвимости в сетях операционных технологий, и применяли методы бокового перемещения для получения доступа и шифрования критически важных данных. Эта кампания нарушила работу больниц в Южной Корее и задержала логистику в США, продемонстрировав, как APT используют вымогательское ПО для достижения двойных целей — нарушения работы и получения прибыли.
Китайские APT-группы используют CatB Ransomware для шпионажа
В 2024 году китайские APT‑группы, спонсируемые государством, включая ChamelGang, использовали программы‑вымогатели для скрытого шпионажа. В одной из таких кампаний использовался вариант выкупного ПО CatB, который шифровал системы и одновременно выводил конфиденциальные данные из целевых отраслей. Замаскировав свою деятельность под финансово мотивированные атаки, эти группы ввели следователей в заблуждение и отсрочили атрибуцию, что позволило им достичь своих целей по сбору разведданных.
Сотрудничество APT‑групп и операторов ransomware позволяет злоумышлнникам использовать Ransomware не только для получения финансовой выгоды, но и в качестве инструмента для подрыва и шпионажа, усложняя атрибуцию и усилия по реагированию. Эти развивающиеся альянсы усиливают воздействие киберкампаний, подчеркивая растущую изощренность современных угроз.
Тренд: Эволюция тактики вымогательства
В 2024 году группы, использующие вымогательские программы, расширили и активизировали использование двойных и тройных методов вымогательства, развивая стратегии, применявшиеся в предыдущие годы. Теперь эти тактики применяются все чаще и включают не только блокировку систем жертв, но и похищение конфиденциальной информации с угрозой ее продажи или публичного обнародования. Комбинируя шифрование с утечкой данных, злоумышленники усиливают давление на жертв, используя как нарушения операционной деятельности, так и репутационные риски, связанные с утечкой информации. Эта эскалация отражает растущую зависимость от многогранных кампаний по вымогательству для достижения максимального воздействия и финансовой выгоды.
В мае 2024 года число именных кампаний вымогателей достигло исторического максимума: на специальных сайтах, посвященных утечке информации, было размещено 40 активных списков жертв.
Атака на канадскую аптечную сеть
В апреле 2024 года канадская сеть розничных аптек London Drugs стала объектом изощренной атаки с использованием вымогательского ПО, осуществленной печально известной группировкой LockBit. Используя уязвимости в ИТ‑инфраструктуре компании, злоумышленники проникли в сети и зашифровали критически важные операционные системы, серьезно нарушив работу бизнеса. Более 79 магазинов по всей Западной Канаде были вынуждены закрыться более чем на неделю, что создало серьезный риск для покупателей, нуждающихся в жизненно важных лекарствах. LockBit похитил конфиденциальные данные о клиентах и операциях и потребовал выкуп в размере 25 миллионов долларов, угрожая опубликовать украденную информацию. Когда London Drugs отказалась подчиниться, группа начала сливать похищенные данные на свой сайт в DarkWeb, обнародовав частную информацию о клиентах и внутренние корпоративные документы.
Обзор: LockBit
LockBit — плодовитая и высокотехнологичная группа, работающая с 2019 года и известная своей моделью Ransomware‑as‑a‑Service. Группа атакует широкий спектр отраслей по всему миру, фокусируясь на дорогостоящих организациях с критически важными операциями, включая здравоохранение, финансы и розничную торговлю. LockBit известна своими методами быстрого шифрования и использованием тактики двойного вымогательства. Несмотря на свое доминирующее положение, группировка столкнулась с растущим давлением со стороны правоохранительных органов: сообщалось об успешных операциях по захвату, в результате которых были разрушены части ее инфраструктуры. Однако LockBit продемонстрировала устойчивость: есть свидетельства того, что она могла сменить операционную деятельность, провести ребрендинг, чтобы избежать дальнейшего внимания, или приостановить операции, чтобы реорганизовать и усилить свою тактику.
Rhysida Ransomware атакует школы
Образовательные учреждения все чаще становятся основными мишенями для атак вымогателей: в ноябре 2024 года группа Rhysida атаковала школы округа Резерфорд в штате Теннесси. Злоумышленники проникли в сеть школы, зашифровали важные данные и вынесли конфиденциальную информацию. Они требовали выкуп в размере 20 биткойнов (более 2 миллионов долларов на тот момент), угрожая продать украденные данные тому, кто больше заплатит, и отказываясь восстанавливать зараженные системы, если выкуп не будет выплачен. Эта тактика двойного вымогательства не только нарушила работу округа, но и поставила под угрозу личную информацию сотрудников, подчеркнув, что подобные атаки могут иметь серьезные последствия для образовательных учреждений.
Организации высшего образования сообщили, что в 2024 году средние затраты на восстановление после атаки программ-вымогателей составят 4,02 млн долларов, что почти в четыре раза больше, чем 1,06 млн долларов в 2023 году.
Атаки программ‑вымогателей, использующие двойные и тройные методы вымогательства, вызвали широкомасштабные сбои в различных отраслях, нацелены на конфиденциальные данные и угрожают общественному доверию. Эта тактика, ставшая более частой и изощренной, использует простои в работе и обнажение данных для достижения максимального эффекта.
Активность программ‑вымогателей в 2024 году продемонстрировала растущую изощренность и адаптивность киберпреступников, которые агрессивно атаковали критически важные сектора, причем в сфере здравоохранения наблюдался значительный всплеск атак — самый высокий за последние четыре года. Среди других ключевых целей — коммунальные службы, образование и организации с гибридными облачными средами. Геополитическая динамика еще больше подстегнула операции с вымогательским ПО, поскольку спонсируемые государством APT сотрудничали с группами вымогателей, чтобы расширить сферу своего влияния, переплетая финансовые мотивы с геополитическими целями. В первой половине 2024 года атаки вымогателей принесли киберпреступникам рекордный доход — 450 миллионов долларов. Эти события отражают тревожную траекторию развития угроз вымогательства, закрепляя их положение как одной из самых разрушительных сил в современном киберландшафте. Эта тактика, ставшая более частой и изощренной, использует простои в работе и утечку данных для достижения максимального эффекта.
В первом полугодии атаки с использованием программ‑вымогателей принесли киберпреступникам рекордный доход — 450 миллионов долларов, что отражает рост числа подтвержденных атак на 10% по сравнению с предыдущим годом.
Продолжение: CyberProof — Отчет об анализе глобальных угроз за 2025 год — Часть 2 — Рост киберугроз для цепочек поставок
ссылка на оригинал статьи https://habr.com/ru/articles/897700/
Добавить комментарий