Шифровальщики активизировались

Бо­лее по­лови­ны всех поч­то­вых рас­сы­лок вре­донос­ных прог­рамм в пер­вой по­лови­не 2019 г. приш­лось на ви­русы-шиф­ро­валь­щи­ки. Об этом со­об­ща­ет Group-IB. Что­бы обой­ти ан­ти­вирус­ные сис­те­мы, ха­керы отп­рав­ля­ют вре­донос­ные ссыл­ки в не­рабо­чее вре­мя с от­ло­жен­ной ак­ти­ваци­ей. По дан­ным спе­ци­алис­тов Group-IB, бо­лее 80% всех вре­донос­ных фай­лов для мас­ки­ров­ки дос­тавля­лись в ар­хи­вах zip и rar.

Если в 2018 г. угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 г. существенно ухудшилась ситуация с шифровальщиками: они вновь вернулись на первое место (54%).

Исследование GIB основано на данных, полученных системой Threat Detection System Polygon, в рамках предотвращения и обнаружения угроз в интернете в первом полугодии 2019 г. в 60 странах мира. Согласно выводам экспертов, основным способом доставки вредоносных программ - шифровальщиков, банковских троянов, бэкдоров - по-прежнему остается электронная почта.

Если во второй половине 2018 г. доля загрузок вредоносных программ с помощью веб-браузера сократилась до минимума и составляла не более 5%, то в первой половине 2019 г. только каждая 19-я загрузка не была связана с почтовой рассылкой.

В первой половине 2019 г. наблюдается десятикратный рост использования запароленных объектов - документов или архивов. В 2017 г. на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 г. их количество выросло до 3,6%. В первой половине 2019 г. наблюдается аномальный рост до 27,8%.

Также тенденцией стала маскировка вредоносного программного обеспечения в письме. Для того, чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых 6 месяцев 2019 г. в архивах доставлялось более 80% всех вредоносных объектов. В основном, для этого использовались форматы zip (32% и rar 25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением - в теме письма или в названии архива, либо в ходе переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018 г. на ссылки приходилось вдвое меньше ВПО.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

"Современные киберпреступники обладают инструментами, позволяющими убедиться, что рассылаемый вредоносный экземпляр не детектируется популярными антивирусными средствами, - отмечает руководитель Центра реагирования на инциденты кибербезопасности CERT-GIB Александр Калинин. - Схемы с вложенными или запароленными архивами, отложенной активацией оказываются оперативно обнаруженными только в случае использования продвинутых систем раннего предотвращения кибератак, а вместе со сложным поведенческим анализом позволяют успешно детектировать ранее неизвестные экземпляры ВПО".

Для того чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова "Платеж", "Приглашение", "Скан", "Акт", то в этом году чаще всего используют "Документы", "Заказ", "Ордер" или "Пароль". В атаках на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и тд. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносный аттач. Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который в свою очередь, представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска – специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

Согласно отчету Cyber Attack Trends: 2019 Mid-Year Report компании Check Point, злоумышленники активно эксплуатируют фишинговые рассылки. Если в начале года в тройке самых активных зловредов стабильно входили криптомайнеры, то с закрытием популярных сервисов (таких как Coinhive и Authedmine) хакеры переключились на программы-шифровальщики и банковские трояны. За последние три месяца 25% вредоносных файлов доставлялись в российские компании именно через электронную почту (глобально - 37%), 42% файлов - в формате *.exe (глобально меньше - всего 29%).

Злоумышленники применяют методы социальной инженерии, а также изменение и персонализацию содержимого электронных писем, рассказывает глава представительства Check Point Software Technolоgies в России и СНГ Василий Дягилев. "Летом Check Point Research зафиксировала рост фишинговых писем, якобы предложений от туристических фирм и авиакомпаний, где скрывались вредоносные ссылки. Ближе к бизнес-сезону на электронные адреса российских компаний стали чаще приходить письма, имитирующие бухгалтерские документы с названиями "Закрывающие документы вторник" и "Документы сентябрь", - говорит представитель Check Point. - C файлами доставлялась вредоносная программа Pony, предназначенная в первую очередь для кражи учетных данных пользователей". В сентябре, по его словам, с помощью Pony атаковали 15% российских компаний.

Согласно статистике Positive Technologies, трояны-вымогатели входят в топ-4 наиболее популярного для купли-продажи в дарквебе вредоносного ПО. На их долю приходится до 12% всех объявлений о продаже. Средняя стоимость вредоносного ПО такого типа не превышает $270. "При этом не менее показательными являются результаты нашего ежеквартального анализа актуальных угроз: использование вредоносного ПО лидирует при атаках на юридические лица (до 61% всех атак выполняются с его использованием), а непосредственно шифровальщики прочно входят в тройку лидеров среди всех типов вредоносного ПО, используемых при атаках", - сказал ведущий специалист PT Expert Security Center Positive Technologies Денис Кувшинов.

Сейчас популярна услуга ransomware-as-a-service. Работает это, как подписка на сервис. Любой пользователь с помощью услуги может заказать атаку с использованием шифровальщика.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев считает, что в 2019 г. действительно более активно, чем ранее, распространяются почтовые вирусы-шифровальщики. "На наш взгляд, в зоне особого риска такие отрасли как образование и здравоохранение, а также муниципальные органы власти. Именно эти вертикали, как правило, ограничены в развитии систем кибербезопасности", - говорит он.

В США есть законодательно закрепленная практика уведомлений об инцидентах. Атаки шифровальщиков там фиксируются ежедневно. В России компании не обязаны раскрывать факты кибератак, поэтому в публичном информационном поле подобных сообщений практически нет. "Скорее всего, в 2020 г. распространение вирусов-шифровальщиков продолжится с новой силой. При этом злоумышленники чаще будут делать ставку на таргетированные атаки с использованием шифровальшиков, проводя тщательную разведку с целью выявить слабые места в инфраструктуре потенциальной жертвы и получить максимальный выкуп", - прогнозирует Андрей Арсентьев.

Анастасия Самсонова

Тематики: Безопасность

Ключевые слова: информационная безопасность, Group-IB