Эксперты связывают рост таких атак с упрощенным доступом к криминальным RaaS-платформам, появлением целой индустрии «подписочных» сервисов для запуска вымогательских кампаний, а также усложнением самой киберпреступной экосистемы, где одни группы специализируются на взломе, другие – на продаже доступа, третьи – на развертывании и обслуживании вымогателей.
Современные группировки стремятся минимизировать время между проникновением в инфраструктуру жертвы и запуском шифровальщика. Автоматизация разведки, готовые инструменты для первоначального доступа и аренда инфраструктуры позволяют злоумышленникам действовать почти в режиме «одного клика». Подобная модель стала особенно востребованной на фоне геополитической нестабильности. Как отмечают эксперты, злоумышленники применяют инструменты корпоративного уровня, а поддерживаемые государством субъекты используют глобальные кризисы не только для подрыва и шпионажа, но и для проведения вымогательских операций, маскируя их под действия киберпреступных групп.
По оценкам экспертов наибольшая доля атак RaaS пришлась на следующие сектора: промышленность и производство – около 30%, транспорт и логистика – около 15%, ИТ- и бизнес-сервисы – около 10%, здравоохранение – около 8%, финансовый сектор – около 6%. Злоумышленники выбирают отрасли, где простой приводит к серьезным убыткам, а значит повышает вероятность выплаты выкупа.
Распространение RaaS напрямую связано с формированием новых рынков и сервисов внутри криминального сообщества. Некоторые группы специализируются на разработке шифровальщиков, другие – на продаже доступа, третьи – на предоставлении панелей управления, саппорта и каналов коммуникации.
Рост атак ransomware-as-a-service – показатель того, что киберпреступность перешла на модель сервисов и действует по принципам легального бизнеса: масштабирование, автоматизация, подписочная модель, обмен данными. Чтобы снизить риски атак RaaS, бизнесу необходимо выстраивать многоуровневую защиту, сочетающую проактивные меры, ограничение поверхности атаки и постоянный контроль состояния инфраструктуры.
- В первую очередь специалисты «Информзащиты» рекомендуют компаниям минимизировать видимость своих внешних сервисов, закрывать неиспользуемые порты, скрывать версии программного обеспечения и тщательно сегментировать сеть, чтобы усложнить злоумышленникам продвижение внутри периметра.
- Не менее важно усиливать возможности обнаружения угроз: использовать средства мониторинга с поддержкой ИИ, отслеживать аномальную активность, попытки подключения через RDP/VPN, ранние признаки эксплуатации уязвимостей и другие индикаторы первичного доступа.
- Эффективную защиту обеспечивает комбинация ограничивающих механизмов – web application firewall, фильтрация трафика, rate limiting и использование honeypots, позволяющих выявлять автоматизированные попытки проникновения и фиксировать тактику злоумышленников на ранних этапах атаки.
- Критически значимым остается резервирование: компании должны формировать оффлайн-копии данных и регулярно проверять возможность восстановления, поскольку быстрая реакция на RaaS-инцидент часто зависит именно от качества подготовленных резервов.
- Наконец, регулярные внутренние пентесты и собственное сканирование инфраструктуры позволяют увидеть ее так, как видит потенциальный атакующий, своевременно обнаружить уязвимые элементы и устранить их до того, как они будут использованы в рамках вымогательской кампании.
Такой комплексный подход помогает компаниям уменьшить вероятность успешной атаки и повысить устойчивость к быстро развивающимся угрозам.