Страсти по Ransomware не утихают: согласно данным исследования SonicWall Cyber Threat Report, за первую половину 2021 года зафиксировано рекордное число атак вымогательского ПО – 304,7 миллиона атак. Их рост по сравнению с общим показателем прошлого года составляет уже 151%.


Хотя многие компании уже организовали процедуры регулярного резервного копирования и атака шифровальщика сама по себе не становится фатальной, группировки вымогателей продолжают стремительно обогащаться. В силу вступают механизмы двойных вымогательств, связанные с кражей и публикацией данных и других типов шантажа. К сожалению, после выплаты выкупа организация становится еще более привлекательной целью, и нередки случаи повторных атак на уже расплатившихся жертв теми же или новыми группировками.

Ransomware – это такой же бизнес, подчиняющийся законам рынка, пусть и теневого, следует из опубликованного интервью участника группировки BlackMatter. Она в определенном смысле заняла нишу отошедших от деятельности вымогателей REvil и Darkside. Судя по сообщениям о поиске доступов к взломанным инфраструктурам, BlackMatter нацелены в первую очередь на крупные компании. И за эксклюзивные доступы готовы отдать до 100 тысяч долларов США. Но и средним компаниям не стоит расслабляться, особенно учитывая тот факт, что доступ к инфраструктуре на теневом рынке может стоит менее 10 тысяч долларов США, а BlackMatter работает также по схеме Ransomware-as-a-Service. Таким образом, можно сделать вывод о выгодности атак, особенно в условиях освободившейся ниши и роста рыночного спроса на эту услугу.

Также BlackMatter уже запустила собственный сайт для публикации утечек и взяла в арсенал некоторые техники своих предшественников: используются права доменного администратора для шифрования (подобно DarkSide) и разнообразные сборки вымогательского ПО, в том числе:

  • для Windows, через SafeMode и PowerShell, как продолжение возможностей REvil;

  • для Linux Ubuntu, Debian, CentOS; 

  • для VMWare ESXi 5+; 

  • для сетевых хранилищ (NAS), в том числе Synology, OpenMediaVault, FreeNAS и TrueNAS. 

По словам участника группировки, разработка первого продукта заняла у BlackMatter 6 месяцев. При этом они использовали понравившиеся наработки LockBit, REvil и DarkSide в своем продукте. По некоторым сведениям, часть разработчиков откололась именно от группировки DarkSide, подобно возникающим из крупных ИТ-компаний стартапам. Между тем, группировка активно набирает пентестеров, причем среднего и высокого уровней. Целью группировки является долгосрочное функционирование, поэтому они активно занимаются развитием продукта и заявляют о намерении выполнять геополитические договоренности о запрете на атаки определенных категорий организации, относящихся к медицинским и к субъектам КИИ.


В складывающейся ситуации экспертам ИБ следует в первую очередь помнить о векторах атак и, в частности, не закрытых уязвимостях. И в данном случае будет полезен совместный отчет агентств кибербезопасности Австралии, США и Великобритании о наиболее эксплуатируемых в 2020-2021 годах уязвимостях. Для текущего года они таковы:

  • Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065; 

  • Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900;

  • Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104;

  • VMware: CVE-2021-21985. 

«По сравнению с прошлым годом большинство уязвимостей являются относительно новыми и связаны со средствами удаленной работы (VPN, публикации ПО и т.д.). Это говорит о том, что оперативность по устранению старых уязвимостей в организациях уже достаточно наладилась и злоумышленники переформатировались под новый ландшафт  ИТ», – полагает менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.

Помимо работы с уязвимостями, для всесторонней защиты инфраструктуры и снижения рисков информационной безопасности эксперты группы компаний Angara предлагают комплекс услуг по борьбе со сложными и таргетированными атаками. Он включает:

  • Защиту пользователей от сложных и неизвестных угроз – многоступенчатую систему аналитики, агенты которой располагаются на разных уровнях инфраструктуры, от периметра до конечных узлов. Эксперты группы компаний Angara спроектируют наиболее эффективную архитектуру системы защиты для вашей инфраструктуры, включая средства изолированного анализа файлов Sandbox, схему направления внешнего трафика на систему защиты и расширенную защиту рабочих станций EDR.

  • Управление уязвимостями. Анализ защищенности – это непрерывный процесс, который требует как периодического сканирования систем, так и контроля за устранением обнаруженных уязвимостей, своевременной установкой программных коррекций и приведением настроек ПО и ОС в безопасное состояние. Эксперты группы компаний Angara реализуют любой из этапов работ по управлению уязвимостями, а также помогут выстроить процесс управления уязвимостями в непрерывном исполнении.

  • Детектирование злоумышленника внутри сети средствами ловушек. Системы класса Deception создают реалистичный набор целей для злоумышленника, не связанный с реальной инфраструктурой. Эксперты группы компаний Angara работают с лучшими представителями данного класса решений и создадут на их базе беспрецедентный эшелон защиты вашей инфраструктуры от целевых атак.