Post #383

Шифровальный блицкриг - захват сети за 2 дня Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы: - количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО - в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права. - В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи. - бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году. - с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует. - 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток. А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу. Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно. Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.