Число атак вирусов-шифровальщиков на российский ритейл подскочило вдвое

Все больше атак

Количество атак вирусов-шифровальщиков на российских ритейлеров подскочило на 45% в первом полугодии 2022 г. по сравнению с тем же периодом 2021 г.. Об этом пишет «Коммерсант» со ссылкой на данные «Информзащиты» и других ИБ-аналитиков.

Так, эксперты «Информзащиты» сообщают, что в январе-июне 2022 г. количество киберинцидентов с участием вредоносных программ-вымогателей, которые блокируют работу ИТ-инфраструктуры организации, на российский ритейл выросло почти в два раза. Аналитики Group-IB зарегистрировали четырехкратный рост по сравнению с тем же периодом 2021 г.. Рост числа атак на ритейл зарегистрировали и в «Лаборатории Касперского».

Злоумышленники выбирают себе в жертвы крупные сети супермаркетов, потому что те охотнее платят выкуп

Эксперт по кибербезопасности компании Сергей Ложкин объяснил изданию, что после пандемии коронавирусной инфекции огромное число покупателей предпочитает совершать покупки онлайн, и этим пользуются злоумышленники. Так, по данным Data Insight, в 2021 г. в России число онлайн-заказов увеличилось на 104%, а объем рынка вырос вдвое по сравнению с 2020 г. и достиг 4,1 трлн руб.

Руководитель группы аналитики Центра предотвращения киберугроз CyberART группы Innostage Ксения Рысаева подтвердила CNews, что за последнее время аудитория интернет-магазинов значительно выросла – и этот факт делает ритейл привлекательным для атакующих.

«К тому же, начиная с 24 февраля мы фиксируем кратный рост хакерской активности, – напоминает эксперт. – Как правило, в ритейле злоумышленники преследуют прямую финансовую выгоду или хотят получить доступ к персональным данным клиентов. А значит, реализация атаки, которая приведет к краже платежных данных или хищению средств со счетов, может обернуться для компании крупными репутационными и финансовыми потерями».

Почему маркетплейсы так уязвимы

Аналитики Positive Technologies подчеркивают, что злоумышленники выбирают себе в жертвы крупные сети супермаркетов и маркетплейсы. Легкой мишенью те становятся по той причине, что заинтересованы в быстром восстановлении своих сайтов – каждая минута простоя оборачивается огромными убытками из-за остановки продаж. Именно поэтому руководство компаний более охотно идет на сделки с мошенниками и платит выкуп, который те запрашивают.

Опрошенные «Коммерсантом» ИБ-эксперты подчеркивают, что в 2022 г. выросла также сумма выкупа, которые злоумышленники просят за разблокировку порталов и других сервисов. Так, если в 2021 г. они достигали 30 млн руб., сейчас мошенники требуют до 100 млн руб.

«Как показывает практика платить злоумышленникам категорически нельзя: заплатив один раз – будешь платить всю оставшуюся жизнь, – объяснил CNews Михаил Сергеев, ведущий инженер CorpSoft24. – Кроме того нет никаких гарантий, что хакеры вышлют ключи шифрования после оплаты. Оплачивая же выкуп, вы лишь подталкиваете их к еще большей зловредной активности».

Ксения Рысаева соглашается, что торопиться с выплатой выкупа злоумышленникам не стоит. Во-первых, нет гарантии, что злоумышленники отправят декриптор для расшифровки. Во-вторых, после выплаты выкупа, те же злоумышленники могут снова атаковать. В третьих, компания может не знать, какие ресурсы остались под угрозой. И последнее – оплата выкупа мотивирует мошенников на новые преступления.

Как бороться с хакерами

Эксперты напоминают, что цель атаки с использованием шифровальщика – блокировка доступа к данным или их шифрование с целью получения выкупа, а не похищение информации. По словам Ксении Рысаевой, 97% атак с применением программ-вымогателей восстановить доступ к данным после шифрования без программы-декриптора невозможно. Конечно, блокировка инфраструктуры может обернуться утечкой данных, но это зависит от конечной цели злоумышленников. Если она заключается в том, чтобы добраться до клиентских данных, то утечка возможна. Однако чаще хакеры больше хотят замедлить работу инфраструктуры.

Революция в DLP: как ИИ защищает конфиденциальные данные от утечек? Защита данных

По мнению Сергеева, деятельность большинства шифровальщиков представляет собой отнюдь не точечные атаки на конкретную инфраструктуру. Это боты, которые сканируют стандартные открытые порты с уязвимостями, получают полный доступ к серверу, а далее, в зависимости от предпочтений хакера, автоматически выполняют заложенное задание – например, майнинг криптовалюты, DDoS-атаки, рассылка спама, кража баз данных или шифрование всех файлов.

«Существуют инструменты, которые позволяют предотвратить шифрование в случае заражения инфраструктуры, но лучше предотвратить попадание шифровальщика в вашу инфраструктуру, устанавливая обновления безопасности или закрыв инфраструктуру от внешнего мира, – советует Сергеев. – Так же часто шифровальщики работают с одинаковым ключом, и можно попробовать расшифровать файлы с помощью бесплатных утилит».

Для защиты от шифровальщиков эксперт советует делать изолированные резервные копии, которые нельзя зашифровать: это, например, система бэкапа, которая разрешает только добавлять резервные копии, а не модифицировать их или удалять их.

Крупные инциденты

В марте 2022 г. CNews писал о том, что в работе популярного в России интернет-магазина Wildberries произошел крупномасштабный сбой. Клиенты долгое время не могли сделать новый заказ, применить скидку и авторизоваться в профиле. Во время неполадок служба информационной безопасности сервиса доставки СДЭК разослала своим сотрудникам предупреждение о кибератаке на Wildberries с советом вывести деньги, заблокировать и перевыпустить карту, привязанную к маркетплейсу. Эксперты заявляли, что Wildberries стал жертвой масштабной атаки вируса-шифровальщика.

Кибербезопасность КИИ: от теории к практике Защита данных

В июне 2022 г. также стало известно, что количество закладок в открытом коде (Open Source) с начала специальной военной операции на Украине увеличилось в 20 раз – в них найдены опасные вирусы-шифровальщики. Угрозы обнаружили в программных пакетах Ctx, phppass и Winbox. Автор популярной библиотеки node-ipc добавил вирус-шифровальщик для ip России и Белоруссии.