Хакеры обложили российский бизнес

09.11.202120:07

Российские компании стали чаще платить выкуп кибермошенникам за расшифровку собственных данных. Источник «Компании» не исключил, что на рост числа атак повлияли действия российских властей. По словам опрошенных изданием экспертов, большинство взломов проходят с американских, немецких и нидерландских IP-адресов.

По данным аналитиков Positive Technologies, опросивших 250 специалистов по информационной безопасности российских компаний разных отраслей, в 2021 году 16% опрошенных компаний платили выкуп по итогам целевых атак хакеров. По данным предыдущего опроса от 2019 года, на выкуп не шел вообще никто.

По данным Group-IB, количество атак шифровальщиков (программы, зашифровывающие ценные файлы) на организации в России в 2021 году увеличилось более чем на 200%. По данным «Лаборатории Касперского», с января по июль шифровальщики атаковали 9,2 тыс. корпоративных пользователей в России, пишет «Коммерсант».

В 2021 году треть опрошенных компаний-респондентов подверглась кибератакам. Основное внимание хакеров привлекли финансовый сектор, предприятия топливно-энергетического комплекса и государственные учреждения. Эксперты связывают рост числа выплат выкупов, которые могут составлять десятки миллионов долларов, с бумом шифровальщиков, начавшимся в 2020 году.

«В последние годы целевые атаки шифровальщиков стали реальной угрозой для любой организации. И угроза эта растет: инструментарий злоумышленников, бизнес-модели, схемы разделения труда внутри кибергрупп постоянно развиваются», — заявил журналу «Компания» эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. Он ожидает роста показателя целевых атак.

По словам ведущего эксперта по информационной безопасности ИТ-компании КРОК Виктора Рыжкова, Россия из года в год занимает одну из лидирующих позиций по ущербу от киберпреступлений в мире, большинство из которых направлены на получение финансовой, а не политической выгоды. «Динамика по кибератакам разнится в зависимости от региона, но большинство атак, жертвами которых становятся российские компании, осуществляются с адресов, зарегистрированных в США, Германии и Нидерландах», — добавил он.

«Исходя из языковых особенностей, мы также фиксировали атаки злоумышленников, владеющих персидскими и китайcкими языками», — добавляет руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

По словам источника «Компании» в Black Hat-сегменте, если с российскими компаниями работают отечественные хакеры, то они либо дилетанты, либо получили заказы от конкурентов этих организаций. Он отметил, что в кибератаках на российский сегмент бизнеса отчасти «виноваты власти». Государство начало информационную войну против хакерских группировок, а те, в свою очередь, выложили исходные данные своих инструментов для взлома, «чтобы спутать следы». Тот факт, что атакующие российский сегмент могут быть сами из РФ, подтверждает и в Group-IB.

Чтобы обезопасить себя от подобных инцидентов, компаниям необходимо постоянно укреплять и совершенствовать свою инфраструктуру безопасности, в том числе, с помощью комплексных защитных решений и регулярного повышения цифровой грамотности своих сотрудников, рекомендует Галов. По словам Рыжкова, число киберпреступлений растет по разным причинам, ключевая из которых — отсутствие должного подхода к информационной безопасности при организации удаленной работы сотрудников.

Преступление с наказанием

Несмотря на техническую подкованность, даже самые опытные хакеры иногда оставляют следы, по которым их находят спецслужбы той или иной страны. Так, власти Румынии 4 ноября задержали пять человек, причастных к деятельности хакерской группировки REvil (Sodinokibi). Они распространяли шифровальщики, которые создали участники REvil в целях вымогательства. Их подозревали в масштабной кибератаке на американскую IT-компанию Kaseya, они требовали рекордные $70 млн.

Более того, ФБР заочно предъявило обвинения в кибермошенничестве россиянину Евгению Полянину, который предположительно находится в Барнауле. Полянин, по данным ФБР, «является одним из многих сообщников REvil». По словам генпрокурора США Меррика Гарланда, Полянин получит около $13 млн от жертв его хакерских атак с применением шифровальщиков, однако Вашингтону удалось вернуть $6,1 млн.

Также обвинения были выдвинуты гражданину Украины 22-летнему Ярославу Васинскому. По данным США, кибератаки принесли ему $2,3 млн, которые заплатили жертвы за разблокировку зараженных программами систем. Васинский был задержан в Польше при попытке выехать с территории Украины. США потребовали его экстрадиции.

Американский Госдеп планирует довести дело до конца и предложил вознаграждение до $10 млн за информацию о главах REvil. До $5 млн получат те, кто предоставит информацию, полезную в аресте или вынесении приговора соучастникам атак REvil.

«Группировки реагируют на задержания "коллег" по-разному: некоторые сочувствуют, некоторые радуются. REvil много кого подставили и много кому мешали работать. Слишком пиарились», — говорит источник «Компании». По его словам, участники REvil смогли привлечь внимание даже на правительственном уровне, поэтому их аккаунты были удалены с основных российских форумов киберпреступников. Собеседник убежден, что основной костяк REvil все еще на свободе, а пойманы были только партнеры и «дропы» (подставные лица, выполняющие функции посредника при сделках — Прим. ред.).

Виктор Рыжков считает, что арест участников группировки REvil вряд ли окажет серьезное изменение на динамику киберпреступлений. «К тому же компании стали чаще идти на уступки хакерам, что развязывает им руки и лишь увеличивает их число и количество кибератак», — рассуждает он.

Оставшиеся на свободе хакерские группировки будут избегать публичности, добавляет Скулкин. Он не исключил, что количество атак может и не вырастет значительно, но скорее всего останется на высоком уровне — все дело в их прибыльности.