+

Сейчас LockBit является одним из самых главных игроков на киберпреступной арене. После развала группировки Conti, LockBit стремительно развивается, выходя на первый план среди других группировок вымогателей. Хакеры выпустили третью версию своего вымогательского ПО, создали свод правил для партнеров и запустили первую в Даркнете программу bug bounty.

В этом посте - интересная статистика, связанная с группировками вымогателей и все про RaaS – новая бизнес-модель, набравшая популярность в хакерском сообществе.

RaaS: даже хакеры платят за ПО

RaaS (Ransomware-as-a-Service, вымогательское ПО как услуга)это новая бизнес-модель, в рамках которой разработчики вымогательского ПО за определенную плату предоставляют другим злоумышленникам свои программы.

RaaS предусматривает несколько моделей оплаты:

  1. Подписка;
  2. Единоразовая покупка;
  3. Процент от полученного выкупа.

Возросшая популярность RaaS говорит о развитии хакерских группировок, которые становятся все более похожими на организации, управляемые профессионалами. LockBit 3.0 успешно пользуется новой бизнес-моделью, что по нашему мнению станет сигналом для других банд киберпреступников, которые подхватят новый тренд и начнут выпускать свое вымогательское ПО на продажу.

Интересная статистика

Число атак с использованием вымогательского ПО в июне сократилось на 42% по сравнению с предыдущим месяцем. Однако, это не является спадом числа вымогательских программ – скорее наоборот. Снижение активности временное и связано с недавним прекращением деятельности Conti и выходом на пенсию LockBit 2.0.

Кроме того, LockBit остается лидером по количеству жертв – 55, что на 244% больше, чем у BlackBasta, которые находятся на втором месте. А атаки Conti сократились на 94%, так как группировка распадается и объединяется в другие, более мелкие банды.

Чаще всего атакам подвергались промышленные (37%), потребительские циклические (18%) и технологические (11%) отрасли.

Компания Coveware опубликовала отчет со статистикой по атакам с использованием вымогательского ПО за второй квартал 2022 года. В отчете видно, что во втором квартале 2022 года средняя сумма выкупа составила $228 125 (на 8% больше, чем в первом квартале 2022 года). Однако медианная сумма выкупа составила $36 360, что на 51% меньше, чем в предыдущем квартале.

Также стоит отметить, что хакеры стали обращать все больше внимания на слабые цели: образовательные организации (количество атак выросло на 33%), правительственные организации (количество атак выросло на 25%) и производства (количество атак выросло на 24%).

LockBit: кто это такие и что мы про них знаем?

LockBit появилась в 2019 году, но первая версия вымогательского ПО от группировки не обрела популярности у хакеров. На LockBit никто не обращал внимания, пока во второй половине 2021 года в свет не вышла LockBit 2.0. С тех пор вредоносное ПО группировки постоянно обновляется и улучшается.

В свое время группировка “очень откровенно” заявила, что находится в Нидерландах. LockBit также заявила, что страны бывшего СССР не будут целями атак, так как большинство членов группировки выросли именно там.

Сейчас LockBit является одним из самых главных игроков на киберпреступной арене. Хакеры разработали совершенно новую стратегию вымогательства, требуя у жертв деньги напрямую и не раскрывая атаку – по крайней мере, на начальном этапе. Группировка предоставляет жертвам “особые услуги” за дополнительную плату:

  • Дополнительные 24 часа к времени, отведенному на выплату выкупа;
  • Немедленное удаление украденных данных;
  • Загрузка украденных данных на серверы жертвы.

Также, у LockBit есть определенный свод правил, запрещающий шифровать системы объектов критически важной инфраструктуры. Однако, воровать данные не запрещено. Сейчас хакеры дорабатывают правила, особенно в вопросах атак на ранее запрещенные отрасли. По новым правилам партнерам LockBit можно атаковать частные образовательные учереждения, фармацевтические компании, стоматологические клиники и учреждения пластической хирургии.

Хакеры LockBit “проводят черту” везде, где может быть причинен вред людям, а также не допускают проведения атак против учреждений, которые оказывают жизненно важную медицинскую помощь.

Чтобы стать партнером LockBit, нужно пройти жесткую проверку и внести депозит в биткоинах. Также, у группировки есть ряд дополнительных требований для проверки потенциального партнера:

  1. Активность в работе с программным пакетом группировки;
  2. Способность зарабатывать более 5 биткоинов в месяц;
  3. Наличие профилей на различных хакерских форумах;
  4. Предоставление доказательств опыта работы в других похожих “проектах” и текущего баланса криптовалютных кошельков;
  5. Проверка знаний и технических возможностей.