«Лаборатория Касперского» проанализировала популярные тактики, техники и процедуры восьми наиболее активных групп вирусов-шифровальщиков. 

Выяснилось, что различные группы ПО более чем на половину сходятся в своих TTPs (процедурах) на протяжении всей цепочки атаки. Исследовались данные об активности групп Conti/Ryuk, Pysa, Clop (TA 505), Hive, Lockbit 2.0, RagnarLocker, BlackByte и BlackCat. 

С марта 2021 по март 2022 года более 500 организаций подверглись атакам от этих групп. Среди отраслей — разработка программного обеспечения, промышленность и строительство.

Из сходств «Лаборатория Касперского» выделяет партнёрскую модель Ransomware-as-a-Service (RaaS), в рамках которой вредоносное ПО доставляется на устройства не создателями вируса. Они лишь предоставляют доступ к сервисам шифрования данных.

Также повторно используются старые и похожие инструменты, что экономит время подготовки к атаке. Процесс взлома облегчают и распространённые техники, которые можно распознать заранее. По словам «Лаборатория Касперского», компании недостаточно оперативно устанавливают обновления и патчи, что облегчает злоумышленникам доступ к инфраструктуре.

Для того, чтобы защититься от атак программ-вымогателей, бизнесу рекомендуется принять следующие меры:

• Не допускать возможность подключения к RDP (службы удалённого рабочего стола) из общественных сетей
• Оперативно обновлять коммерческие VPN
• Оперативно обновлять программное обеспечение на всех используемых устройствах
• Регулярно создавать резервные копии данных
• Обучать сотрудников правилам кибербезопасности
• Применять комплексные защитные решения

Более подробно ознакомиться с исследованием «Лаборатории Касперского» можно по ссылке.