«Лаборатория Касперского» зафиксировала значительный рост атак на малый и средний бизнес в России с помощью программ-шифровальщиков. По статистике компании, в четвертом квартале 2022 года количество обращений пострадавших организаций за восстановлением ценных данных к специалистам по реагированию на киберинциденты выросло почти в два раза по сравнению с предыдущим кварталом. В январе тенденция продолжилась ― за первый месяц 2023 года этот показатель уже превысил половину запросов последнего квартала 2022 года. Основной целью злоумышленников в большинстве случаях была финансовая выгода.
МСП под прицелом
По данным компании атаки затронули самый широкий спектр компаний, в том числе организации, оказывающие бухгалтерские и клининговые услуги, поставляющие строительные материалы, а также небольшие производства. Наиболее частый вектор атаки ― через службу удаленного рабочего стола (RDP), когда злоумышленники используют подобранные или украденные ранее учётные данные. Получив таким образом доступ в сеть организации, злоумышленники в дальнейшем получают контроль над ней и запускают шифровальщик. К сожалению, малые предприятия не всегда могут защитить свою внутреннюю инфраструктуру от подобных атак и у них чаще наступают более серьезные последствия от атак шифровальщиков.
Количество атак с помощью шифровальщиков остается стабильно высоким. Защитные системы «Лаборатории Касперского» зафиксировали более 400 тысяч попыток заражения корпоративных устройств данным этим видом вредоносного ПО в 2022 году. В пятерку шифровальщиков, которые чаще всего попадают на рабочие компьютеры предприятий малого и среднего бизнеса, вошли Cryakl, Phobos, Stop, Crysis/Dharma, Makop. Однако часто запуск шифровальщика — этого финальная часть атаки, когда уже украдены персональные данные, корпоративная переписка и другие корпоративные секреты. Для бизнеса малых предприятий подобные атаки являются разрушительными, вплоть до прекращения деятельности. Кроме того, велика вероятность, что оплата за расшифровку данных, зашифрованных вымогателем, уходит украинским хакерам, то есть факт выкупа можно представить как финансирование терроризма со всеми вытекающими последствиями.
«Если в начале прошлого года мы наблюдали смещение вектора атак в сторону хактивизма ― нанесения ущерба стабильности и непрерывности бизнеса без требований выкупа, то сейчас можем констатировать, что активность злоумышленников стала более традиционной, когда целью блокировки становится денежная компенсация, – пояснил ситуацию главный эксперт по кибербезопасности «Лаборатории Касперского» Сергей Голованов. – Атака шифровальщиков может привести к остановке деятельности, невозможности подать документы в различные службы, срыву контрактов и других важных корпоративных процессов, поэтому всем компаниям важно помнить про комплексную защиту ИТ-инфраструктуры».
Рекомендации экспертов
Специалисты «Лаборатории Касперского» рекомендуют запретить подключаться к службам удалённого рабочего стола (особенно устаревший и опасный RDP) из общественных сетей и всегда использовать надёжные или многофакторные пароли для таких служб; всегда обновлять программное обеспечение на всех используемых устройствах; регулярно выполнять резервное копирование данных; использовать инструменты корпоративной защиту рабочих мест (XDR); создать ИБ (хотят бы их одного человека) и приобрести для нее подписку на данные Threat Intelligence; обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды; комплексно защищать ИТ-инфраструктуру, например подключившись к коммерческому SOC или к ГосСОПКА. В большинстве случаев крупные компании уже прошли эти этапы и их информационные системы защищены хотя бы на базовом уровне, поэтому злоумышленникам приходится переключаться на менее защищенных участников бизнеса.
