Свежий номер
    Подписка на издание
    Интернет
    Технологии
    Гаджеты
    Игры
    Видео
    Digital
    25.11.2021 15:22
    Поделиться

    Число атак на бизнес с помощью программ-вымогателей выросло втрое

    В 2021 году количество атак с помощью программ-вымогателей на российские компании увеличилось на 200%, рассказали "РГ" в Group-IB. При этом максимальная сумма выкупа, которую запросили злоумышленники, составила 250 млн рублей.
    Алексей Мальгавко/РИА Новости

    Исследователи отмечают, что наиболее популярными программами-вымогателями являются Dharma, Crylock и Thanos - в общей сложности на них приходится более 300 атак. Главной причиной популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service ("Вымогательство как услуга"). Другие группы, как например, RTM, ранее специализировавшаяся на хищениях из систем дистанционного банковского обслуживания (ДБО), сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

    Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная - 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin - они рассчитывали получить от жертвы 250 млн рублей. Для сравнения в мире "ставки" значительно выше - вымогатели из Hive не так давно потребовали от немецкого холдинга MediaMarkt выкуп в 240 млн долларов.

    "Ни в коем случае не следует платить выкуп, - отмечает Луис Корронс, ИБ-евангелист компании Avast. - Это не только поддерживает бизнес создателей программами-вымогателей, но и не дает гарантию того, что высланный ключ дешифрования будет работать. Плюс, известны случаи, когда ключ для расшифровки был выдан жертве значительно позже. Поэтому рекомендуется хранить файлы в офлайн-режиме, чтобы не заразить другие устройства. Во-вторых, сделанный бэкап решает подобные проблемы гораздо быстрее и легче".

    Если же заражение произошло, важно локализовать всех зараженных пользователей и отсоединять их от общей сети, добавляет Петр Куценко, руководитель направления Solar webProxy компании "Ростелеком-Солар". "После чего - планомерно восстанавливать компьютер пользователя и возвращать в сеть предприятия".

    Специалист также рекомендует периодически проводить аудит защищенности инфраструктуры - как минимум, проверять актуальность настроек системы и знаний пользователя о безопасном поведении в сети.

    Поделиться