Нови проучвания разкриха, че в последните месеци рансъмуер атаките са станали по-многобройни и по-агресивни, а голям процент от жертвите биват атакувани многократно.
Екипът за глобално разузнаване на заплахите в NCC Group отбелязва в своя месечен обзор за киберсигурност Threat Pulse, че през февруари 2023 г. е имало 240 рансъмуер нападения, което е 45% увеличение спрямо рекордно високия брой атаки през януари. В сравнение с февруари на предходната година, обемът на атаките срещу киберсигурността е бил с 30% по-голям, казват още анализаторите.
Общо за първите два месеца на 2023 година фирмата е преброила 405 инцидента с рансъмуер. Това е с 26% повече от същия период през 2021 г. и с 38% повече от 2022 г.
Водещи заплахи
Групата NCC също така съобщи, че рансъмуерът LockBit 3.0 е водещата ракета-носител на нападенията. Едноименната група за заплахи е стартирала 129 акции, или 54% от всички случаи на рансъмуер.
Насочването на LockBit към дружества от областта на комуналните услуги, здравеопазването и потребителските е било толкова активно, че този вид атаки са се утвърдили като водещите три заплахи за периода. Налице е 150% увеличение на жертвите в тези сектори от януари.
Други заплахи, отчетени през февруари, включват:
- BlackCat, съставляващ 13% от февруарските рансъмуер атаки;
- BianLian, отговорен за 8% от атаките, с 20 жертви;
- Royal, Play, Medusa и RansomHouse.
Северна Америка – топ-мишена
Според NCC Group, на Северна Америка се падат 47% от рансъмуер акциите през февруари – атакувани са 113 предприятия. Европа, където мишени са били 56 организации, представлява 23% от случаите. Азия, с общо 35 атаки, е целевият регион за 15% от нападенията.
„През февруари наблюдавахме скок в рансъмуер активността, както се очакваше след като излезем от обичайно по-тихия януарски период”, каза Мат Хъл, ръководител на отдела за разузнаване на заплахи в NCC Group.
„Въпреки това обемът на рансъмуер атаките през януари и февруари е най-високият, който някога сме наблюдавали за този период от годината. Това е индикация как се развива пейзажът на заплахите. Участниците в нападенията не показват признаци за намаляване на активностите си”, допълни той.
Бизнесът с потребителски стоки – най-атакуван
Двата сектора, най-атакувани през февруари, според доклада на NCC Group, са промишлеността и потребителските стоки. Следващите най-примамливи мишени са финансови, технологични и академични организации.
В доклада на NCC Group се казва, че индустриалните предприятия представляват една трета, или 80 от 240-те рансъмуер атаки за месеца.
По подобен начин докладът за 2023 г. „Ransomware Insights” на Barracuda Networks, който анкетира лидери в компании с между 100 и 2500 служители, очертава разлики в техниките за рансъмуер атака в зависимост от целевите бизнес-сектори. И според този доклад, потребителските услуги са най-атакуваният сектор през последните 12 месеца.
Броят на компаниите, които са претърпели поне една рансъмуер атака, говори, че:
- 66% от фирмите за потребителски услуги са били обект на поне една рансъмуер атака;
- 38% от дружествата в областта на производството са били нападнати;
- 37% от компаниите за медии, забавления и развлечения, са атакувани;
- 36% от организациите от публични сектор (държавен и граждански) са били на прицел;
- 34% от фирмите за бизнес- и професионални услуги са били мишени;
- 33% от организациите за енергия, нефт и газ и комунални услуги са обстрелвани с рансъмуер;
- 31% от организациите в сферата на общественото и частното здравеопазване са били на прицел, както и фирми за ИТ, технологии и телекомуникации.
- 53% от дружествата от областите на енергетиката и комуналните услуги съобщават за два или повече „разрушителни рансъмуер инцидента”.
Каскадни атаки
Повечето професионалисти в областта на киберсигурността съобщават, че техните компании са били атакувани, като над една трета са ударени многократно.
Организациите с киберзастраховка е по-вероятно да бъдат успешно атакувани от рансъмуер, отколкото тези без застраховка, според доклада на Barracuda Networks. Установено е, че 77% от организациите с киберзастраховка са били засегнати от поне една успешна атака – в сравнение с 65% от тези без киберзастраховка.
73% от всички организации в проучването съобщават, че са били засегнати от поне една разрушителна рансъмуер атака през 2022 г., а 28% казват, че са били ударени два или повече пъти.
Според данните от проучването, 42% от успешно атакуваните три или повече пъти са платили откупа за възстановяване на криптирани данни, в сравнение с 31% от жертвите на една-единствена атака.
Проучването извежда подробни анализи на причините за относително високия процент на повторните атаки:
- Липса на контрол за сигурността, реагирането при инциденти и възможностите за разследване;
- Нарастваща сложност на нападенията;
- Имплантирани „задни вратички” или други инструменти за устойчивост на зложелателното присъствие, оставени от нападателите, които не се идентифицират и не се премахват;
- Липса на адекватни мерки входните точки за достъп да бъдат затворени и компрометираните пароли да бъдат сменени, така че откраднатите идентификационни данни могат да бъдат използвани повторно за злонамерени акции.
Организациите се чувстват недостатъчно подготвени
Според проучването на Barracuda Networks, 27% от анкетираните организации смятат, че не са напълно подготвени да се справят с рансъмуер атака. „Броят на организациите, засегнати от този вид нападения през 2022 г., вероятно отразява широко разпространената наличност на евтини, достъпни инструменти за атака чрез предложения за „раснъмуер като услуга”, каза Флеминг Ши, главен технологичен директор в Barracuda.
Проучването сочи още, че RaaS е улеснило атакуващите без технически опит да стартират свои кампании.