Рост среднего размера выкупа в I квартале 2021 года составил 43% по сравнению с IV кварталом 2020 года. Медианный размер выкупа вырос почти на 60% ― с $49 450 до $78 398. Основная причина ― действия хакерской группировки Clop. Пользуясь уязвимостью в системе передачи файлов Accellion File Transfer Appliance, она получила доступ к инфраструктуре крупных компаний, учебных заведений и правительственных агентств, с которых запрашивала выкуп на крупные суммы.
Accellion FTA использует небольшое количество компаний (около 100), но в их число входят производитель самолетов Bombardier, энергетический гигант Shell, крупная сеть супермаркетов Kroger, Резервный банк Новой Зеландии, крупные американские университеты. Поэтому и сумма выкупов за расшифровку файлов оказывается значительной, что влечет за собой рост среднего и медианного размера выкупа.
«Дюжины жертв Clop заплатили десятки миллионы долларов, хотя и большая часть жертв решила не переводить злоумышленникам запрошенные криптовалюты», ― отмечается в отчете.
Несмотря на активность группировки Clop, на первом месте по количеству случаев заражения оказался вирус-шифровальщик Sodinokibi. На втором месте ― Conti V2, затем идет Lockbit и лишь на четвертом месте разместился вирус Clop.
Что же касается способов проникновения в ИТ-инфраструктуру жертв, то лидером остается проникновение через службу сервера удаленных рабочих столов (RDP). Также популярна рассылка фишинговых электронных писем. Набирает популярность и проникновение с помощью уязвимостей в программном обеспечении, именно такие уязвимости используют хакеры Clop.
В заключение специалисты Coveware посоветовали компаниям, пострадавшим от вирусов-вымогателей, не платить хакерам. Тем более, что нет никакой гарантии, что злоумышленники расшифруют ваши файлы и удалят копии на своих серверах.
Крупные выкупы требует и группировка REvil. Так в конце марта была взломана инфраструктура французской фармакологической компании Pierre Fabre. Злоумышленники потребовали $50 млн в биткоинах за расшифровку файлов.