Компания Positive Technologies опубликовала результаты анализа киберинцидентов за 2 квартал 2020 года. Исследователи пришли к выводу, что операторы вирусов-шифровальщиков начали сотрудничать друг с другом, что привело к увеличению доли атак на промышленные предприятия по сравнению с 1 кварталом 2020 года.

По данным исследования, число атак во 2 квартале выросло на 9% по сравнению с первым кварталом и на 59% по сравнению с аналогичным периодом 2019 г. Эксперты полагают, что громкие мировые события неминуемо сопровождаются ростом числа кибератак, поскольку присутствует благоприятная почва для применения методов социальной инженерии. Апрель и май 2020 года стали рекордными по числу успешных кибератак. Исследователи связывают это со сложной эпидемиологической и экономической ситуацией в мире, которая пришлась на эти месяцы.

Так, во 2 квартале с темой COVID-19 было связано 16% атак с использованием методов социальной инженерии (против 13% в первом квартале). Более трети (36%) из них не были привязаны к конкретной отрасли, 32% атак направлены против частных лиц, 13% – против госучреждений.

Как показал анализ, существенно выросла доля атак, направленных на промышленность. Во 2 квартале среди атак на компании она составила 15% против 10% в I квартале. Наибольший интерес к промышленности проявляют операторы шифровальщиков и APT-группы. В девяти из десяти атак на промышленность злоумышленники использовали вредоносные программы. Около половины (46%) атак с использованием вредоносов пришлось на шифровальщики, еще 41% атак с использованием вредоносов – это атаки шпионских троянов. Во 2 квартале стало известно о первых жертвах шифровальщика Snake – автомобильном производителе Honda и компании Enel Group. Кроме Snake, промышленность атаковали операторы шифровальщиков Maze, Sodinokibi, NetWalker, Nefilim, DoppelPaymer. При этом начальным вектором проникновения в атаках на промышленные компании чаще всего были фишинговые письма (83% от общего числа атак) и уязвимости на сетевом периметре (14%).

По данным экспертов, наибольшую активность в атаках с использованием шифровальщиков во 2 квартале проявили операторы Maze и Sodinokibi.

Шифровальщики – одно из самых быстроразвивающихся направлений киберпреступности. Шантаж публикацией данных в случае отказа жертвы платить выкуп поставлен на поток. Для продажи похищенных данных одни операторы делают собственные сайты, где публикуют список жертв и похищенную информацию, другие – размещают данные на хакерских форумах. Операторы LockBit и Ragnar Locker пошли дальше и заключили договор о партнерстве с "флагманом" отрасли Maze, и теперь операторы Maze публикуют на своем сайте данные, похищенные другими кибергруппировками.