К Международному дню борьбы с шифровальщиками исследователи Лаборатории Касперского выкатили отчет об эволюции угроз ransomware и их влиянии на сферу кибербезопасности.

По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.

В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.

С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.

Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.

В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:

1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.

По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.

RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.

2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.

Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.

3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.

При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.

Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года. 

4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.

5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.

При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.

6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.

Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.

7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.

8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.

Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.