В декабре 2021 года число еженедельных заражений программами-вымогателями в российских организациях увеличилось на 50% по сравнению со средним количеством инцидентов в период с января по ноябрь, сообщили «Известиям» в компании Check Point Research. Это связано в том числе с тем, что в России распространяется обновленная версия вируса Emotet. Владельцы программы часто продают доступ к инфраструктуре компании-жертвы шифровальщикам.
С момента обнаружения новой версии Emotet (был найден израильскими исследователями 15 ноября) компания зафиксировала в России 174 зараженных компьютера. Больше всего пострадали компании финансового сектора — в них зафиксировано 40% инцидентов.
— За десять месяцев простоя Emotet развился, получив новые функции и инструменты. Например, было улучшено управление, помимо первоначального метода заражения появился установщик вредоносных пакетов поддельных приложений Windows, имитирующих официальные, — сообщили в Check Point Research.
Рост числа атак в России с использованием новой версии Emotet подтвердил и руководитель отдела обнаружения вредоносного ПО Positive Technologies Алексей Вишняков. По его словам, частота инцидентов с шифровальщиками будет коррелировать с числом заражений этим образцом вируса.
Ведущий эксперт группы исследования ботнетов «Лаборатории Касперского» Олег Купреев сказал, что новый образец Emotet «всколыхнул» индустрию информационной безопасности. Но пока специалист не слышал о громких инцидентах с его использованием. По словам Олега Купеева, сейчас наблюдается только рост ботнета (сети зараженных устройств).
— Россия находится на восьмом месте в топе стран, подвергшихся атакам. В РФ количество заражений в шесть раз меньше, чем в Италии, лидирующей в рейтинге. По нашим данным, в России не было ни одного случая, связанного с шифровальщиками, внедряющимися через сеть зараженных вирусом Emotet устройств за всю историю его существования, что не отменяет самих фактов заражения, — сказал Олег Купреев.
Впрочем, по его словам, даже без партнерства с шифровальщиками заражение Emotet наносит немалый урон организациям и пользователям. Поскольку с атакованных устройств автоматически похищаются учетные данные из браузеров и логины, пароли, контакты, адресные книги и содержимое писем из почтовых клиентов.
В пресс-службе ЦБ сказали, что Банк России на постоянной основе доводит до участников информационного обмена сведения о новых компьютерных угрозах и атаках, их основных индикаторах компрометации, а также дает рекомендации по их предупреждению.
«Известия» направили запрос в Национальный координационный центр по компьютерным инцидентам.
В Check Point Research отметили, что один из основных каналов распространения Emotet — другой ботнет, один из крупнейших в мире, TrickBot. Заражая устройство, он предлагает пользователю загрузить защищенный паролем zip-архив, в котором содержится вредоносный файл для заражения устройства вирусом Emotet.
С января 2021 года TrickBot заразила более 140 тыс. жертв в 149 странах. Атаковано было не только оборудование компаний, но и устройства рядовых пользователей. По данным израильских исследователей, на долю России приходится около 3% от всех устройств в ботнете TrickBot. По этому показателю РФ делит пятое место в мире с Турцией и Китаем. Предшествуют им Португалия (18%), США (14%), Индия (5%) и Бразилия (4%).
Олег Купреев добавил, что Trickbot использовался обновленным Emotet только для первых заражений. Сейчас же операторы вируса действуют самостоятельно, распространяя его через спам с вредоносными вложениями в виде офисных документов.
— Возвращение Emotet означает дальнейший рост числа атак программ-вымогателей, который придется на начало 2022 года. Операторы Trickbot далеко не в первый раз сотрудничают с распространителями Emotet, загружая его на уже зараженные устройства, тем самым способствуя возрождению сети, — сказал руководитель отдела анализа угроз Check Point Software Technologies Лотем Финкельстин. — Emotet уже занимает довольно твердую позицию благодаря тому, что восстанавливается не с нуля. Всего за две недели Emotet занял седьмое место в ряду самых активных вредоносных программ в ноябрьском отчете Global Threat Index. Уже сейчас к заражениям Emotet и Trickbot стоит относиться крайне серьезно. Если этого не сделать, в будущем нас может ждать волна атак программ-вымогателей.
Поскольку основной источник заражения Emotet — спам, для защиты от него стоит уделить особое внимание входящей корреспонденции, отметили в «Лаборатории Касперского». Там посоветовали не открывать документы и архивы и не переходить по ссылкам из писем от неизвестных адресатов. Даже если отправитель доверенный, лучше сначала сохранить присланный документ на диск и просканировать антивирусом и лишь затем открывать его, добавили специалисты.
Роман Кильдюшкин