Киберэксперт Михаил Спицын: хакеры-вымогатели начали использовать сложные методы взлома
В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. Эксперт в области информационной безопасности Михаил Спицын рассказал, как защититься от продвинутых угроз.
По данным исследования Group-IB, группа RansomHub заполнила вымогательскую нишу. Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах. Основной стратегией стало переманивание хакеров, ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.
Использование хакерами готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
«Угрозы вроде атак вымогателей в формате ransomware-as-a-service, становятся все более распространёнными. Группировка RansomHub, использующая сложные методы взлома и эксплуатации уязвимостей, уже атаковала более 600 организаций, шифруя системы на различных платформах и шантажируя жертв. Для защиты от подобных продвинутых угроз недостаточно ограничиваться лишь стандартными средствами защиты информации (СЗИ), организациям необходимо регулярно обновлять программное обеспечение, минимизировать поверхность атаки и внедрять системы мониторинга, такие как Security Operations Center (SOC), для своевременного реагирования на инциденты. С помощью средств расширенной и поведенческой аналитики на базе собственных ML-решений, GSOC способен прервать цепочку атаки на ранних этапах», – говорит киберэксперт «Газинформсервиса» Спицын Михаил.