Эксперты «Лаборатории Касперского» заявляют, что различные группы хакеров-шифровальщиков, которые блокируют часть файловой системы и вымогают у пользователей средства за разблокировку, более чем на 50% идентичны на всех этапах цепочки атак. Речь о Cyber Kill Chain — последовательности действий, осуществляемых злоумышленником ради достижения своей цели.

Специалисты компании проанализировали деятельность таких группировок, как RagnarLocker, BlackCat, BlackByte, Pysa, Conti/Ryuk, Clop (TA 505), активничающих, преимущественно, в странах Европы и США. За год (с марта 2021 по март 2022 года) эти группировки атаковали более чем 500 различных предприятий, специализирующихся на строительстве и разработке программного обеспечения, занимающих ведущие позиции в других нишах промышленности.

Схожесть действий киберзлоумышленников из перечисленных группировок, согласно отчёту «Лаборатории Касперского», заключается в том, что они используют известный хакерский алгоритм действий «Ransomware-as-a-Service» (RaaS). Вирус-вымогатель не разрабатывается хакерами, а приобретается (как правило, в даркнете) для осуществления противоправных действий. Атака осуществляется с помощью проверенных инструментов, сокращающих период подготовки к её проведению.

Злоумышленники используют уже известные им техники и процедуры, облегчающие процесс проникновения в информационную инфраструктуру предприятия. «Содействие» хакерам в большинстве случаев невольно оказали сотрудники атакуемых компаний, не побеспокоившиеся о своевременном обновлении противовирусного программного обеспечения.