Атаки на российские организации демонстрируют устойчивый рост, при этом за ними все чаще стоят не отдельные злоумышленники, а специализированные группировки, системно выстраивающие свои операции. На примере одной из таких групп, известной как Toy Ghouls, эксперты РОЦИТ описали методы проникновения в инфраструктуру компаний и актуальные схемы вымогательства.
Одна из наиболее распространенных схем — атака через цепочку поставок. Злоумышленники получают доступ к инфраструктуре не напрямую, а через подрядчиков и партнеров, которые имеют подключение к внутренним системам, но при этом защищены слабее. Такой подход позволяет обойти прямую защиту компаний и использовать доверенные каналы взаимодействия как точку входа.
В атаках применяется сразу несколько программ-вымогателей, адаптированных под разные операционные системы и типы инфраструктуры. Это позволяет злоумышленникам шифровать данные максимально эффективно, включая серверы, рабочие станции и сетевые хранилища. Комбинирование инструментов повышает вероятность успешной атаки и усложняет восстановление данных без выплаты выкупа.
Отдельной схемой можно считать работу с жертвой после атаки. Злоумышленники используют нестандартные, иногда ироничные или провокационные формулировки в сообщениях с требованием выкупа, адаптируя их под сферу деятельности компании. Такой подход усиливает давление и подталкивает к быстрому принятию решения, играя на срочности и эмоциональной реакции. Группа Toy Ghouls, например, сообщала строительной компании, что ее «посетил лабубу», и если компания решит не платить, ее «домик из файлов снесут бульдозером».
В связи с ростом таких атак эксперты дают ряд рекомендаций по безопасности. Они советуют уделять особое внимание контролю доступа подрядчиков и регулярно проверять уровень их защищенности, использовать комплексные решения для мониторинга и раннего выявления угроз, своевременно обновлять программное обеспечение и создавать резервные копии данных, изолированные от основной инфраструктуры. Также важным остается обучение сотрудников базовым практикам информационной безопасности и готовность к реагированию на инциденты.