А также самая крупная сумма требуемого выкупа
https://www.securitylab.ru/upload/ib...c4d8904013.jpg
Внешние сервисы удаленного доступа по-прежнему являются основным вектором для групп вымогателей, взламывающих корпоративные сети. Более того, наблюдается заметный всплеск использования фишинга и уязвимостей в общедоступном приложении для кражи данных и вымогательства.
https://www.securitylab.ru/upload/im...nt-img(31).png
По данным компании Group-IB, злоумышленники нацелены на серверы удаленных рабочих столов (Remote Desktop Protocol, RDP) для первоначального доступа в сеть. Также злоумышленники часто используют скомпрометированные учетные данные для атаки на инфраструктуру изнутри.
Согласно отчету Group-IB , в прошлом году банды вымогателей разработали эксплойты для недавно обнаруженных проблем безопасности в общедоступных приложениях. Среди наиболее используемых уязвимостей являются:<ul><li>CVE-2021-20016 (SonicWall SMA100 SSL VPN);</li>
</ul><ul><li>CVE-2021-26084 (Atlassian Confluence);</li>
</ul><ul><li>CVE-2021-26855 (Microsoft Exchange);</li>
</ul><ul><li>CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104 (Accellion FTA);</li>
</ul><ul><li>CVE-2021-30116 (Kaseya VSA);</li>
</ul><ul><li>CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 (Microsoft Exchange);</li>
</ul><ul><li>CVE-2021-35211 (SolarWinds).</li>
</ul>Согласно недавнему совместному отчету Cyber ​​Security Works, Securin, Cyware и Ivanti, количество уязвимостей, связанных с атаками программ-вымогателей, выросло до 310 в первом квартале 2022 года. Однако, не все ошибки являются новыми. Половина уязвимостей были обнаружены ещё в 2019 году. Для многих из них существуют общедоступные эксплойты, которые значительно облегчают работу злоумышленников.
https://www.securitylab.ru/upload/im...nt-img(32).png
По сообщениям Group-IB группировки опубликовали информацию 3500 жертв, 1655 жертв оказались из США. Самыми агрессивными кампаниями в 2021 году были LockBit (670 жертв), Conti (640 жертв) и Pysa (186 жертв).
https://www.securitylab.ru/upload/im...nt-img(33).png
Согласно исследованию компании по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response, DFIR) из 700 кибератак в прошлом году в 63% случаев произошла утечка данных. В прошлом году средняя сумма выкупа составила $247 тыс. Эксфильтрация данных остается мощной тактикой хакеров, некоторые группировки даже создали собственные инструменты для продажи своим партнерам.
Среди методов злоумышленников находится использование интерпретаторов команд и сценариев, а также удаленных служб, которые являются частью всех атак. Кроме того, киберпреступники также использовали различные методы для обнаружения удаленных систем, кражи учетных данных и отключения средств безопасности.
https://www.securitylab.ru/upload/im...nt-img(34).png
Из самых используемых инструментов самым популярным является SoftPerfect Network Scanner. На втором месте распространенный инструмент для этапов пост-эксплуатации Cobalt Strike Beacon с широким спектром действий (выполнение скрипта, кейлоггинг, загрузка файлов).
https://www.securitylab.ru/upload/im...nt-img(35).png
По словам главы группы DFIR Олега Скулкина, слияние тактик, методов и процедур (Tactics, Techniques, and Procedures, TTP) из-за перехода аффилированных лиц от одной операции к другой затрудняет специалистам по безопасности отслеживать методы злоумышленника. Однако, определение основных тенденций с помощью матрицы MITRE ATT@CK должно упростить подготовку к инцидентам с программами-вымогателями.