Наиболее пострадавшая от атак хакеров-вымогателей страна в Европе — Германия

Германия лидирует в Европе по числу атак программ-вымогателей, а темпы их прироста почти в два раза опережают французские показатели. Об этом сообщил специалист по информационной безопасности Кристиан Дёрр из Института Хассо Платтнера. Тему обсуждают на конференции по национальной кибербезопасности в Потсдаме, где собрались сотрудники силовых ведомств, представители госорганов и эксперты отрасли.

Шифровальщики остаются одной из самых разрушительных категорий вредоносного софта. После проникновения в инфраструктуру жертвы вирус блокирует доступ к файлам и парализует работу систем, а операторы атаки выставляют счёт за расшифровку. Суммы выкупа в Германии нередко достигают нескольких сотен тысяч евро, но финансовые потери организаций этим далеко не исчерпываются.

Простой бизнеса растягивается на недели, рабочие процессы замирают, а восстановление IT-инфраструктуры обходится подчас дороже самого выкупа. Для небольших компаний последствия инцидента порой оказываются фатальными — вплоть до банкротства и закрытия. Кристиан Дёрр прямо назвал Германию эпицентром ransomware-атак в Европе.

Среди причин такого положения дел выделяются:

• высокая концентрация инновационных компаний и технологических лидеров мирового уровня;
• ценная интеллектуальная собственность и промышленные ноу-хау немецких корпораций;
• значительный объём коммерческих данных, представляющих интерес для криминала;
• отставание от ряда других государств по темпам внедрения современных средств защиты;
• недооценка рисков со стороны руководства многих организаций.

Стоит обратить внимание, что Германия уже несколько лет отстаёт от ряда стран по скорости внедрения современных механизмов защиты, и этот разрыв превращается в системную проблему всей цифровой экономики страны.

Государственный сектор страдает быстрее остальных. Внедрение комплексной защиты в госорганизациях упирается в бюрократические согласования, разрозненность систем и нехватку квалифицированных кадров — всё это активно эксплуатируют преступные группировки. Кристиан Дёрр пояснил, что атакующие прекрасно осведомлены о слабых местах публичного сектора и выбирают цели с расчётом.

Самые крупные выплаты фиксируются в медицине. Больницы и клиники оказываются под двойным давлением — преступники получают доступ к внутренней документации и одновременно к персональным сведениям пациентов. Такие данные дорого стоят на теневых форумах и охотно используются для последующего шантажа конкретных людей.

Реальные последствия атак на критическую инфраструктуру выглядят так:

• сбои в работе больниц с переносом операций и эвакуацией пациентов;
• паралич муниципальных служб и невозможность оформить документы;
• проблемы у операторов общественного транспорта с расписаниями и продажей билетов;
• утечки персональных данных тысяч граждан в открытый доступ;
• многомесячное восстановление систем после крупных инцидентов.

Федеральное ведомство по информационной безопасности оценивает уровень угрозы как высокий. Аналитики BSI связывают это с непрерывным появлением свежих семейств шифровальщиков и многочисленных модификаций уже известных образцов вредоносного кода. Картина дополняется статистикой Федерального управления уголовной полиции — за прошлый год зарегистрирован 1041 случай ransomware-атак и инцидентов с вымогательством после кражи данных против 950 годом ранее.

Отмечается, что киберпреступность превратилась в полноценный международный бизнес со своей иерархией, разделением труда и партнёрскими программами для исполнителей атак.

Эксперт связывает значительную часть кампаний с русскоязычными хакерскими группировками, которые регулярно всплывают в расследованиях резонансных взломов. Профессионализм атакующих растёт ощутимо — современные группы изучают инфраструктуру жертв неделями, подбирают точку входа через подрядчиков и пользуются нулевыми днями. Обнаружить такую атаку до момента шифрования становится труднее с каждым годом.

Растёт и арсенал используемых техник:

• двойное вымогательство с угрозой публикации украденных данных;
• атаки через цепочки поставок и доверенных подрядчиков;
• эксплуатация уязвимостей в публично доступных VPN-шлюзах;
• применение легитимных утилит администрирования для маскировки активности;
• использование моделей RaaS с распределением прибыли между участниками.

Дополнительный риск создают сами компании, которые скрывают факт инцидента и платят выкуп без обращения в полицию. Подобная практика подпитывает криминальную экономику и стимулирует новые волны атак на немецкий бизнес.

Ранее сообщалось, что исследование ExtraHop показало серьёзные изменения в тактике операторов программ-вымогателей. По данным компании, 49% организаций узнают о проникновении злоумышленников только после утечки конфиденциальной информации, тогда как годом ранее подобных случаев было почти вдвое меньше. Аналитики отмечали, что киберпреступники всё чаще отказываются от быстрых атак и делают ставку на длительное скрытное присутствие в корпоративных сетях, уделяя основное внимание краже ценных данных.

Эксперты редакции CISOCLUB уверены, что положение Германии отражает общеевропейский разворот криминального рынка в сторону богатых индустриальных экономик с медленной цифровой трансформацией. Сочетание ценных активов и устаревших подходов к защите делает страну удобной мишенью для операторов шифровальщиков. Без жёсткого регулирования платежей выкупа и обязательного раскрытия инцидентов ситуация продолжит ухудшаться.

Государственному сектору нужна срочная программа модернизации с привлечением частных специалистов и международного опыта. Медицинская отрасль требует отдельного подхода — здесь риски выходят за рамки финансовых потерь и затрагивают жизни людей. Российским организациям полезно изучить немецкие ошибки, чтобы не повторить их у себя.