"Касперский зертханасы" бүкіл әлем бойынша төлем бағдарламаларының шабуылдарын талдады

"Касперский зертханасының" сарапшылары бүкіл әлем бойынша шифрлаушылардың шабуылдарын талдады. Компанияның жаңа есебінде шабуылдаушылар файлдарды шифрлаусыз сатып алуды көбірек талап ететіндігі және Telegram әлі де ұрланған деректерді сататын алаң ретінде қызмет ететіндігі атап өтілді.

Шабуыл географиясы. Компанияның мәліметтері бойынша, 2025 жылы төлем бағдарламаларына тап болған ұйымдардың ең көп үлесі Латын Америкасында болды (8%). Одан кейін Азия-Тынық мұхиты аймағы (8%), Африка (8%), Таяу Шығыс (7%), ТМД (6%) және Еуропа (4%).

Шабуылдардың негізгі тенденциялары. Жақында шабуылдаушылар жүйелерді шифрлауға ғана емес, деректерді ұрлауға назар аударды. Бұл ретте олар шабуылдарды масштабтайды және өз әдістерін үнемі дамытады, соның ішінде операцияларды автоматтандырады.

Бұзылған деректерді тарату мен сатудың негізгі арналары Telegram арналары мен Darknet болып қала береді. Өз қызметтерін жарнамалау және шифрлаушыларға қатысты ақпаратты жариялау үшін шабуылдаушылар көлеңкелі форумдарды пайдаланады — мысалы, RAMP немесе LeakBase.

2025 жылы EDR (Endpoint Detection and Response) деп аталатын "өлтірушілерді" — зиянды бағдарламаны іске қоспас бұрын соңғы құрылғылардағы қорғаныс шешімдерін өшіруге арналған құралдарды қолданудың өсуі жалғасты. Олар қазірдің өзінде шифрлаушыларды қолданатын шабуылдардың стандартты элементіне айналды — бұл операциялардың барған сайын мақсатты және ойластырылғанын көрсетеді.

Сонымен қатар, "Касперский зертханасының" сарапшылары бұрын болжаған посткванттық криптография стандарттарын қолданатын төлем бағдарламаларының отбасылары пайда бола бастады. Осылайша, шабуылдаушылар төлемсіз деректерді қалпына келтіруді іс жүзінде мүмкін етпейтін шифрлау әдістеріне көшуді бастады.

Шабуылдарда делдал ретінде әрекет ететін бастапқы қол жеткізу брокерлері (Initial Access Brokers, IAB) маңызды рөл атқарады. Олар қараңғы желіде немесе басқа ресурстарда осы деректерді кибершабуылдар үшін пайдаланатын басқа шабуылдаушыларға есептік жазбаларға қол жеткізуді сатады. Шабуылдардың мақсаты — құрылғыларды қашықтан басқаруға болатын RDWeb порталдары-веб-сайттар. Себебі шифрлау топтары "қызмет ретінде қол жеткізу" ("Access-as-a-Service") моделі бойынша шабуылдарды масштабтауды жалғастыруда, бұл операцияларды ұйымдастыру процесін жеңілдетеді.

Белсенді топтар. 2025 жылы Qilin тобы бірінші орынға шықты-ол RansomHub қызметін тоқтатқаннан кейін "қызмет ретінде төлем бағдарламасы" (Ransomware-as-a-service, RaaS) моделі бойынша таратылатын шифрлаушылар арасында үстемдік етті. Екінші орында - Clop, үшінші орында - Akira.

2025 жылы төлем бағдарламаларының бірнеше ірі топтары бірден жоғалып кеткенімен, олардың орнына жаңа мүшелер келді. Ең көрнекті мысалдардың бірі-Gentlemen. Топ тез өсіп, жақсы ұйымдастырылған және оған бұрын басқа ауқымды операциялармен байланысты болған зиянкестер кіруі мүмкін. Осылайша, Gentlemen хаотикалық және "резонанстық" шабуылдардан масштабталатын шабуылдарға ауыса бастады және оның пайда табу әдістері бизнес-модельге ұқсайды. Топ құпия деректерді ұрлауға, жәбірленуші үшін беделді және реттеуші тәуекелдерді құруға, тек файлдарды шифрлауға және оларға кіруге тыйым салуға бағытталған.  

"Төлем бағдарламалары ұрланған деректерді монетизациялауға, қорғаныс құралдарын өшіруге және шабуылдарды масштабтауға бағытталған бүкіл экожүйеге айналды — оның тиімділігі бизнес үлгісіне жақын. Зиянкестер тез бейімделіп, шабуылдарға заңды құралдарды пайдаланады, қашықтан қол жеткізу инфрақұрылымын пайдаланады, ал олар посткванттық криптографияны күткеннен бірнеше жыл бұрын қолдана бастады. Шабуылдарға сәтті қарсы тұру үшін біз ұйымдарды көп деңгейлі қорғаныс жүйесін құруға, резервтік көшірмелерге инвестиция салуға, сондай — ақ қызметкерлердің цифрлық сауаттылық деңгейін арттыруға шақырамыз", - деп түсіндірді Kaspersky GReAT басшысы Дмитрий Галов.

Есептің толық мәтіні Securelist.ru сайтта қол жетімді.

Шифрлау бағдарламаларын қолдана отырып шабуылдардан қорғау үшін "Касперский зертханасы" ұйымдарға да кеңес береді:

• ішкі желіге кіру үшін зиянкестердің осалдықтарын пайдаланбау үшін барлық құрылғыларда бағдарламалық жасақтаманы үнемі жаңартып отырыңыз;
• вқорғаныс стратегиясының бір бөлігі ретінде көлденең қозғалысты, сондай-ақ интернеттегі деректердің бұзылуын анықтауға назар аударыңыз. Зиянкестердің ішкі желіге қосылуын уақтылы анықтау үшін шығыс трафикті мұқият қадағалап отыру керек;
• SOC командаларына зиянкестердің (TI) ең жаңа тактикасы, әдістері мен процедуралары туралы жаңа ақпаратқа қол жеткізуге мүмкіндік беру және арнайы тренингтер арқылы олардың дағдыларын үнемі арттыру.