12 мая отмечается международный День борьбы с шифровальщиками

К этой дате «Лаборатория Касперского» выпустила ежегодный отчёт о кибератаках с использованием программ-вымогателей. В документе анализируются глобальные тенденции таких атак

Эксперты «Лаборатории Касперского» изучили атаки шифровальщиков в 2024 году. Согласно данным, чаще всего они происходили на Ближнем Востоке, реже всего — в Европе. Доля пострадавших пользователей в мире выросла до 0,44% (+0,02 п.п. по сравнению с 2023 годом). Атаки остаются точечными, так как злоумышленники выбирают только выгодные цели.

12 мая — День борьбы с шифровальщиками, учреждённый в 2020 году по инициативе Интерпола и «Лаборатории Касперского». Дата выбрана в память о крупнейшей атаке WannaCry (12 мая 2017 года). Цель дня — повышать осведомлённость о программах-вымогателях и продвигать методы защиты от них.

Ключевые факты:
- Ближний Восток — лидер по атакам, Европа — самый низкий уровень.
- WannaCry — самая масштабная эпидемия шифровальщиков в истории.
- Злоумышленники атакуют избирательно, а не массово.

Атаки шифровальщиков в разных регионах мира
Ближний Восток и Азиатско-Тихоокеанский регион
Здесь чаще всего происходят атаки из-за быстрой цифровизации и неравномерного уровня киберзащиты. В АТР хакеры целятся в крупный бизнес, особенно в промышленность. В группе риска — развивающиеся экономики со слабым ИБ-законодательством.

Африка
Атаки редки из-за низкой цифровизации, но в ЮАР и Нигерии их число растёт (финансы, госсектор, производство). Многие компании не готовы к киберугрозам.

Латинская Америка
Основные цели — Бразилия, Аргентина, Чили, Мексика (промышленность, энергетика, госструктуры). Выкуп часто небольшой, но риски растут из-за цифровизации.

Россия и СНГ
Активны хак-активисты (например, Head Mare, Twelve), использующие LockBit 3.0. Их мишени — производство, госсектор, ритейл.

Европа
Атаки есть, но их сдерживают:
- сильное ИБ-законодательство,
- высокая осведомлённость,
- надёжные системы защиты,
- диверсифицированная экономика.
Основные цели — заводы, госучреждения, вузы.

Уровень атак зависит от цифровизации, экономики и защиты региона. В развивающихся странах риски выше, в Европе — лучше контроль.

Ключевые тенденции атак с использованием программ-вымогателей в 2024 году

1. Использование ИИ в разработке шифровальщиков
- Группа FunkSec (появилась в конце 2024 года) применяет ИИ для создания вредоносного ПО.
- Использует модель RaaS (Ransomware-as-a-Service) и тактику двойного вымогательства (шифрование + кража данных).
- Цели: госсектор, ИТ, финансы, образование (Европа, Азия).
- В коде шифровальщика обнаружены LLM-генерованные комментарии, что упрощает разработку и маскирует вредонос.
- В отличие от групп, требующих миллионы, FunkSec вымогает небольшие суммы, применяя массовый подход.

2. Падение доходов при росте среднего выкупа
- Общие доходы киберпреступников снизились: 813млн(2024)∗∗vs∗∗1,25 млрд (2023) (данные Chainalysis).
- Средний выкуп вырос в 1,5 раза – до $4 млн (отчёт Sophos), что говорит о точечных атаках на крупный бизнес.
Разногласия в статистике:
- Sophos: больше компаний платят выкуп.
- Coveware: меньше (в IV кв. 2024 – 25% vs 29% в 2023).
Причины снижения выплат: усиление киберзащиты, регулирование, действия правоохранителей.

3. Доминирование модели RaaS
- RansomHub и другие группы предлагают "шифровальщик под ключ", включая техподдержку и партнёрские программы.
- RaaS позволяет неопытным хакерам проводить сложные атаки, что привело к росту числа новых групп.

4. Эксплуатация нестандартных уязвимостей
Группа Akira атаковала через веб-камеры, обходя системы защиты.
Будущие векторы атак:
- IoT-устройства, умные гаджеты, незащищённое офисное оборудование.
- Скрытая разведка и горизонтальное перемещение по сети для точечного внедрения шифровальщиков.
Тактика усложняет обнаружение и реагирование.

Выводы:
- ИИ и RaaS делают атаки доступнее и изощрённее.
- Преступники сосредоточены на крупных целях, но доходы падают из-за борьбы с выплатами.
- Новые угрозы исходят от неочевидных уязвимостей в IoT и корпоративных сетях.
- Организациям важно усиливать защиту периметра и отслеживать скрытую активность в инфраструктуре.

«Программы-шифровальщики входят в число самых серьёзных киберугроз для организаций. С помощью вымогателей злоумышленники атакуют компании разных размеров по всему миру. Одна из наиболее тревожных тенденций, о которых говорится в отчёте, — использование нестандартных точек входа. Зачастую их защите не уделяется достаточно внимания, что привлекает внимание злоумышленников. Чтобы обеспечить безопасность, организациям необходим эшелонированный подход: использование современных защитных систем, сегментация сети, мониторинг в режиме реального времени, резервное копирование данных, а также постоянное обучение сотрудников основам кибербезопасности. Повышать осведомлённость о киберугрозах так же важно, как и инвестировать в защитные технологии», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.

Рекомендации по защите от шифровальщиков от «Лаборатории Касперского»
Чтобы эффективно противостоять атакам программ-вымогателей, организациям следует:
1. Своевременно обновлять ПО
- Закрывать уязвимости, которые злоумышленники используют для проникновения в сеть.
2. Мониторить подозрительную активность
- Контролировать горизонтальное перемещение злоумышленников внутри сети.
- Отслеживать утечки данных и исходящий трафик, чтобы вовремя обнаружить взлом.
3. Создавать автономные резервные копии
- Хранить бэкапы оффлайн, чтобы атакующие не могли их зашифровать.
- Обеспечивать быстрый доступ к резервным данным в случае атаки.
4. Повышать квалификацию SOC-команд
- Обеспечивать сотрудников актуальной информацией о тактиках киберпреступников (Threat Intelligence).
- Регулярно проводить тренинги по отработке действий при инцидентах.
5. Внедрять комплексные решения защиты
- Использовать платформы вроде Kaspersky Symphony, которые предоставляют:
- EDR/XDR-функционал для обнаружения и реагирования на угрозы.
- Многоуровневую защиту, адаптированную под нужды бизнеса.
6. Обучать сотрудников киберграмотности
- Проводить тренинги с помощью специализированных платформ, например Kaspersky Automated Security Awareness Platform.

Комплексный подход, включающий технические меры, обучение персонала и резервное копирование, значительно снижает риски успешных атак шифровальщиков.

Материал подготовлен АО "Лаборатория Касперского"