Поиск активов

В KUMA есть два режима поиска активов. Переключение между режимами поиска осуществляется с помощью кнопок в верхней левой части окна:

Найденные активы можно выделить, установив напротив них флажки, и экспортировать данные о них в виде CSV-файла.

Чтобы найти актив:

Сложный поиск активов производится с помощью условий фильтрации, которые можно задать в верхней части окна:

В таблице отобразятся активы, которые соответствуют критериям поиска.

Основная статья: Вредоносная программа (зловред)

Попав на компьютеры-«жертвы» вирусы-шифровальщики шифруют наиболее чувствительную для организации информацию, после чего злоумышленники начинают требовать выкуп.

Атаки шифровальщиков в странах мира

Основная статья: Вирусы-вымогатели (шифровальщики) в России

Вирусы-шифровальщики на Тайване

Основная статья: Вирусы-вымогатели (шифровальщики) на Тайване

Вирусы-шифровальщики в Японии

Основная статья: Вирусы-вымогатели (шифровальщики) в Японии

Вирусы-шифровальщики в США

Основная статья: Вирусы-вымогатели (шифровальщики) в США

Вирусы-шифровальщики в Британии

Основная статья: Вирусы-вымогатели (шифровальщики) в Великобритании

Создание и распространение шифровальщиков

Итак, троянца написали и протестировали на антивирусах, с этим порядок. Теперь его надо распространить — ведь он не вирус, и сам размножаться не умеет. Тут потребуется еще больше народу. Во-первых, специалист по социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишинговых сайтов. Это необходимо для того, чтобы максимальное число пользователей перешло по ссылке в письме, сохранило и запустило вложение или «купилось» на фишинговый сайт. Во-вторых, веб-дизайнер, который разработает упомянутый сайт. В-третьих, спамер, в идеале — с обширными базами для рассылки, лучше всего — четко таргетированными (база компаний, база физлиц в определенном регионе и т. д.). В-четвертых, специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступного сообщества. И сюда же условно можно причислить «вольных художников» из мира киберкриминала — различных исследователей уязвимостей, которые ищут «дыры» в ОС и приложениях, после чего продают эту информацию разработчикам вредоносного ПО.Работа с СУБД: почему без интегратора с профильной командой не обойтись

Конечно, зачастую услуги каждого из этих «специалистов» могут быть просто оплачены отдельно — например, куплена краденая база данных адресов и заказана спам-рассылка по ней, а один программист может применять знания из нескольких нужных областей. Кроме того, можно «расковырять» уже существующего троянца и, модифицировав его, распространить как нового. Для совсем ленивых есть вариант покупки на черном рынке готовой к распространению версии шифровальщика, которую достаточно настроить под свои реквизиты и выпустить в сеть, а то и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Почта. При отсутствии эффективного спам-фильтра в вашу почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными. Конечно, приложенные к таким письмам «документы» и оказываются этими самыми троянцами, которых пользователь запускает при открытии архивов. Важно, что хотя для человека такие «письма счастья» выглядят весьма серьезно, спам-фильтр вряд ли пропустит их, а почтовый антивирус сможет обезвредить известные ему угрозы, тем самым избавив пользователя от риска попасться на удочку злоумышленников.

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и
запуск троянцев.

Защита от вирусов-вымогателей (шифровальщиков)

Основная статья: Защита от вирусов-вымогателей (шифровальщиков)

Ransomware of Things (RoT)

Основная статья: Ransomware of Things (RoT)

Согласно отчету кибербезопасности Check Point 2020, представленному 8 июля 2020 года, в мире растущей гиперподключенности, когда устройства подключаются к одним и тем же сетям, наблюдается эволюция кибератак с помощью вымогателей. Вместо того, чтобы перехватывать информацию или данные компании или отдельного лица, злоумышленники берут на себя полное управление устройствами, подключенными к интернету. Пользователи не смогут использовать их, пока выкуп не будет выплачен. Эта тактика называется Ransomware of Things (RoT). Традиционные атаки с помощью вымогателей представляют риск для организаций, но RoT-атаки несут серьезные последствия для всего общества в целом.

Основная статья: Rasket (вирус-вымогатель)

Основная статья: Conti (вирус-вымогатель)

Основная статья: DoppelPaymer (вирус-вымогатель)

Основная статья: Pay2Key (вирус-вымогатель)

Основная статья: RegretLocker (вирус-вымогатель)

Основная статья: Ragnar Locker (вирус-вымогатель)

Основная статья: CovidLock (вирус-вымогатель)

Основная статья: Ryuk (вирус-вымогатель)

Основная статья: Reveton (вирус-вымогатель)

Основная статья: Maoloa (вирус-вымогатель)

Основная статья: DemonWare (вирус-вымогатель)

Основная статья: CryWiper (вирус-вымогатель)

Основная статья: LockBit (вирус-вымогатель)

Основная статья: Sphynx (вирус-вымогатель)

Основная статья: HardBit (вирус-вымогатель)

Основная статья: INC Ransom (вирус-вымогатель)

Основная статья: ShrinkLocker (вирус-вымогатель)

Основная статья: TargetCompany (вирус-вымогатель)

Медучреждений в Румынии атаковал вирус-вымогатель. Их компьютеры заблокированы

12 февраля 2024 года Министерство здравоохранения Румынии сообщило о том, что более 100 медицинских учреждений страны пострадали из-за атаки программы-вымогателя. Компьютеры больниц оказались заблокированы, а файлы и базы данных зашифрованы, из-за чего воспользоваться ими невозможно. Подробнее здесь.

Число атак вирусов-вымогателей в мире за год взлетело на 67%

В 2023 году в глобальном масштабе зарегистрированы более 5000 жертв программ-вымогателей. Это на 67% больше по сравнению с показателем за предыдущий год, когда было зафиксировано приблизительно 3000 таких инцидентов. Соответствующие данные приводятся в исследовании NTT Security Holdings, результаты которого обнародованы в конце апреля 2024-го.

В отчете сказано, что наибольшему риску подвергаются объекты критической инфраструктуры, цепочки поставок и сектор финансовых услуг. Нарушение работы ИТ-систем таких предприятий может повлечь за собой крайне негативные последствия, а поэтому велика вероятность выплаты выкупа, на что и рассчитывают киберпреступники. В 2023 году группировки вымогателей наиболее часто атаковали производственный сектор, на который пришлось 25,66% жертв.

Отмечается, что малые и средние предприятия сталкиваются с наибольшей вероятностью внедрения шифровальщиков. По данным исследования, более 50% жертв программ-вымогателей в 2023 году насчитывали в своем штате менее 200 сотрудников, а 66% — менее 500 человек.

Выкупы хакерам-вымогателям в мире за год достигли рекордных $1 млрд

Выкупы хакерам-вымогателям в мире за 2023 год достигли рекордных $1 млрд. Об этом свидетельствуют данные ИБ-компании Positive Technologies, опубликованные в конце апреля 2024 года.

Эксперты привели пример с компанией Caesars Entertainment (один из крупнейших в мире представителей гостиничного и развлекательного бизнеса): она заплатила выкуп в $15 млн вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

По словам аналитиков Positive Technologies, в 2023 году хакеры переключились с простого шифрования на угрозу публикации украденных данных. Тенденция появилась на фоне того, как компании начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов, считает руководитель исследовательской группы Positive Technologies Ирина Зиновкина.

Согласно исследованию, больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг. Кроме того, в 2023 году вирусы-вымогатели часто атаковали организации из сферы науки и образования (14% от общего количества нападений шифровальщиков), государственные учреждения (12%) и промышленные организации (12%). Почти все шифровальщики в 2023 году распространялось с помощью электронной почты и путем компрометации компьютеров и серверов.

Хакеры увеличили на 20% требования к выкупу при атаках вирусов-вымогателей до $600 тыс.

В 2023 году средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс. Это на 20% больше по сравнению с предыдущим годом, когда данный показатель находился на отметке $500 тыс. Такие данные приводятся в отчете компании Arctic Wolf Networks, опубликованном 20 февраля 2024 года.

Отмечается, что размер выкупа варьируется в зависимости от сферы деятельности атакуемой организации. Так, в юридической, государственной, розничной и энергетической отраслях киберпреступники в 2023-м требовали в среднем $1 млн или больше. Специалисты Arctic Wolf Networks говорят о том, что тенденция роста суммы выкупа среди группировок-вымогателей сохраняется. Связано это с новыми инициативами по борьбе с киберпреступностью и с растущим количеством отказов жертв от перечисления запрашиваемых денег.

Атак программ-вымогателей остерегаются организации и большого, и маленького размера, и на это есть веские причины: нанесенный такими вирусами урон приводит к огромным потерям, не считая собственно выкупа, — говорят специалисты Arctic Wolf Networks.

Платежи жертв вирусов-вымогателей в мире достигли рекордных $1,1 млрд

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд, что является новым рекордом. Для сравнения, в 2022-м эта цифра оценивалась в $567 млн. Таким образом, зафиксирован двукратный рост в годовом исчислении, о чем говорится в исследовании аналитической компании Chainalysis, результаты которого опубликованы 7 февраля 2024 года.

В отчете отмечается, что доход операторов программ-шифровальщиков в виде выкупов устойчиво рос в разгар пандемии COVID-19. В частности, в 2019 году он составлял около $220 млн, а в 2020-м достиг $905 млн. В 2021 году злоумышленники получили от своих жертв $983 млн. Но в 2022-м произошел резкий спад. Эксперты связывают это со сложившейся геополитической обстановкой: конфликт не только нарушил деятельность некоторых киберпреступных группировок, но и сместил их акцент с финансовой выгоды на политически мотивированные кибератаки, направленные на шпионаж и разрушение ИТ-инфраструктуры. Но уже в 2023 году операторы вирусов-вымогателей вернулись к привычной деятельности, и объем платежей жертв снова начал расти.

В исследовании говорится, что в 2023 году в сегменте программ-шифровальщиков произошел значительный рост частоты, масштабов и объемов атак. Такие киберкампании осуществлялись самыми разными хакерскими сообществами — от крупных синдикатов до небольших групп и отдельных лиц. Кроме того, злоумышленники внедряют новые тактики, в частности, схему охоты на так называемую «крупную дичь». Она позволяет совершать меньше атак, получая при этом более крупные выкупы от больших корпораций и организаций.

Число вирусов-шифровальщиков за год выросло на 20%

Количество атак вирусов-шифровальщиков выросло на 20% в 2023 году. Такой информацией с TAdviser поделились представители ИТ-компании «Киберпротект» 2 февраля 2024 года. Согласно данным компании, в лидерах оказались США, Канада, Великобритания, Австралия и Россия. Эксперты «Киберпротект» подсчитали, как часто за последний год происходили крупные и публичные потери информации из-за атак хакеров-вымогателей, какие отрасли пострадали больше всего и какой была сумма выкупа в среднем.

По данным за 2023 год сообщалось о 150 крупных таких атак, что на 30 атак больше, чем годом ранее. При этом доля России выросла с 1 до 4 процентов. По темпам роста нашу страну опережает только США — количество известных атак там выросло на 17% за период с 2022 по 2023.

Чаще всего в 2023 году сообщали об атаках на госсектор (24 нападения), причем такая динамика сохраняется второй год подряд. В 2022 году в СМИ фигурировали 22 крупных нападения на правительственные учреждения. ИТ-компании также находятся в топе самых атакуемых жертв, однако в 2023 году динамика положительная. Количество нападений сократилось на 30 процентов — 18 атак в 2023 против 24 нападений в 2022. Также риску атак хакеров подвержены и учреждения социальной сферы — университеты, больницы и школы. В 2023 году их атаковали на 30% чаще, чем в 2022.

Бессменные группировки-лидеры в 2022 и 2023 — группировки Lockbit и Conti. Западные власти и компьютерные эксперты связывают их с выходцами из России и стран постсоветского пространства, но точных подтверждений этому нет.

В топ-3 по активности после Lockbit и Conti в 2022 году входила предположительно российская группировка Hive, которая за время существования получила более $100 млн от своих жертв в качестве выкупов. Несмотря на активность в 2022 (10 крупных атак), в 2023 году совместными усилиями властей США и ЕС группировку удалось ликвидировать. Но «свято место — пусто не бывает»: в прошлом году ее место заняла BlackCat (AlphaV), совершив 9 крупных кибератак и став героем новостей 6 раз.

Самый крупный выкуп, который фигурировал в медиа в 2023 году, внесла американская сеть казино Caesars Entertainment — $15.000.000 (половину от того, что требовали хакеры). Злоумышленники украли базу данных программы лояльности компании, которая также содержала данные водительских прав и номера социального страхования клиентов.

Средний чек за выкуп, в свою очередь, составлял от $250.000 до $10.000.000. Однако 2022 год в финансовом плане для хакеров был успешнее: самый крупный разовый платеж от жертвы составил $60.000.000. Его киберпреступники потребовали за расшифровку файлов крупного автомобильного дилера Великобритании Pendragon.

Выполнение требований хакеров обычно ничего не гарантирует. После внесения выкупа данные могут и не расшифровать, также их могут слить в интернет или передать компаниям-конкурентам. Кроме того, по нашим наблюдениям участились случаи повторных атак на компанию. Злоумышленники остаются в системе бизнеса и шифруют данные снова, спустя время.

Единственный эффективный метод защиты данных от последствий атаки вирусов-вымогателей — это резервное копирование — базовый элемент киберустойчивости любой организации. Практика показывает, что далеко не все компании используют его системно и часто приходят к внедрению полноценного резервного копирования уже после того, как впервые столкнулись с инцидентом и потеряли ценные данные, понесли материальные и репутационные потери. Особенно остро эта проблема стоит в сегменте малого и среднего бизнеса, где бюджеты на защиту информационных систем ограничены, но при этом потеря данных может привести не просто к ущербу, но и к потере всего бизнеса, — сказала Елена Бочерова, исполнительный директор компании «Киберпротект». — Инциденты с такими компаниями редко становятся публичными, статистика обозначает проблему, которая стоит еще более остро.

Стран во главе с США договорились никогда не платить выкуп хакерам

В конце октября 2023 года 40 стран во главе с США заявили сообщили о подписании документа, закрепляющего их обещание никогда не платить выкуп хакерам, а также работать над уничтожением экономической основы существования киберпреступников.

Данный альянс получил название The International Counter Ransomware Initiative. Его появление не случайно, так как число хакерских атак с требованием выкупа продолжает расти каждый год. В 2023 году 46% таких кибератак пришлось на США. Объем выплат кибервымогателям только за первую половину 2023 года достиг половины миллиарда долларов.

The International Counter Ransomware Initiative планирует работать над уничтожением экономической основы существования хакеров

Хакеры взламывают защиту жертвы, шифруют файлы и потом требуют выкуп за восстановление доступа к ним. Зачастую похищаются личные приватные данные, которые при отсутствии оплаты утекают в интернет.

Жертвами становятся не только обычные пользователи интернета, но и крупные компании – так, за осень 2023 года от атак вымогателей пострадали оператор казино MGM Resorts International и создатель средств бытовой химии Clorox.

Пока люди перечисляют деньги вымогателям, эта проблема продолжит расти — заявила Анна Нойбергер, советник президента США по вопросам национальной безопасности со специальностью в кибертехнологиях.

Как начинаются атаки вирусов-вымогателей на компании. 3 самых популярных сценария

В мае 2023 года «Лаборатория Касперского» опубликовала исследование, в рамках которого назвала самые распространённые векторы атак программ-вымогателей. По данным антивирусной компании, 43% атак шифровальщиков в мире в 2022 году начиналось с эксплуатации уязвимостей в общедоступных приложениях. Почти в каждом четвёртом случае (24%) атаки программ-вымогателей начинались с использования ранее скомпрометированных аккаунтов пользователей, а в 12% — с вредоносных писем.

Эксперты отмечают, что в ряде случаев целью атакующих было не шифрование данных, а получение доступа к личной информации пользователей, интеллектуальной собственности и другим конфиденциальным данным организаций.

В ходе расследования инцидентов с применением программ-шифровальщиков эксперты компании обнаружили, что в большинстве случаев злоумышленники находились в сети клиента некоторое время после проникновения. Атакующие зачастую используют PowerShell для сбора данных, Mimikatz для повышения привилегий и PsExec для удалённого выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки.

Скомпрометированные учётные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки посредством программ-шифровальщиков. Чтобы минимизировать эти риски, важно, чтобы компании вводили и контролировали политику надёжных паролей, регулярно обновляли корпоративное ПО, а также обучали сотрудников основам информационной безопасности, — отметил руководитель глобальной команды реагирования на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов.

Природа информационной безопасности — исследование Лаборатории Касперского за 2022 г.

У крупнейшего ИТ-вуза Ирландии украли 6 Гбайт данных сотрудников, в том числе зарплатных. Занятия отменены

В начале февраля 2023 года Мюнстерский технологический университет в Ирландии подвергся профессионально организованной кибератаке с помощью вируса-вымогателя. Всего хакеры украли 6 ГБ конфиденциальных данных, включая коммерческую информацию. Подробнее здесь.

Вирус-вымогатель заблокировал компьютеры крупнейшего израильского ИТ-вуза

В феврале 2023 года хакеры атаковали израильский технологический институт Технион, требуя $1,7 млн. Злоумышленники потребовали 80 биткойнов и пригрозили увеличить сумму на 30%, если выкуп не будет выплачен в течение 48 часов. Подробнее Технион – Израильский технологический институтздесь.

Года хакеры используют дыру в ПО VMware для успешных атак вирусов-вымогателей

В начале февраля 2023 года французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупредила о распространении новой программы-вымогателя, получившей название ESXiArgs. Она проникает в системы жертв через дыру в серверном программном обеспечении VMware. Подробнее здесь.

Вирусы-вымогатели атаковали десятки ГИС в Италии и отключили их

5 февраля 2023 года Национальное агентство по кибербезопасности Италии (ACN) предупредило о широкомасштабной кампании по распространению программ-вымогателей. Зловреды атакуют тысячи серверов в Европе и Северной Америке.

Сообщается, что взлом затронул несколько десятков национальных информационных систем в Италии. На многих атакованных серверах повреждены средства обеспечения безопасности. Пострадали также ресурсы в Финляндии, США, Канаде и во Франции. Согласно результатам предварительного расследования, атака нацелена на уязвимость в технологии VMware ESXi — специализированном гипервизоре. Патч для дыры, о которой идёт речь, был выпущен ещё в феврале 2021 года, однако до сих пор не все организации установили апдейт. Этим и пользуются киберпреступники, распространяющие вредоносную программу.

Вирусы-вымогатели атаковали десятки ГИС в Италии

По оценкам, по всему миру были скомпрометированы тысячи компьютерных серверов, и, по мнению аналитиков, их число, вероятно, возрастёт. Французское агентство по кибербезопасности (ANSSI) обнародовало предупреждение с рекомендацией как можно скорее загрузить обновление для VMware ESXi, устраняющее проблему. Некоторые из пострадавших ГИС оказались неработоспособны.

Высказывались предположения, что атаки могут быть связаны с госструктурами или недружественными странами. Однако специалисты, изучившие характер данной киберпреступной кампании, пришли к выводу, что она, скорее всего, организована некой хакерской группировкой с целью шантажа и вымогательства. О сумме, которую хотят получить злоумышленники от своих жертв, ничего не сообщается.