Шифровальщики поставят антирекорд

Согласно исследованию лаборатории компьютерной криминалистики Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков» количество атак вирусов-шифровальщиков в 2019 году по сравнению с предыдущим годом возросло на 40%. Размер среднего требуемого выкупа также серьезно увеличился. Наибольшие суммы требуют шифровальщики семейства Ryuk, DoppelPaymer и REvil – их единовременные требования о выкупе достигали $800 тыс.

В исследовании сообщается, что цели мошенников сместились в корпоративный сектор, так как тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы. Жертвами оказывались муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа возрос с $8 тыс. в 2018-м до $84 тыс. в 2019-ом году. Одним из заимствованных приемов, стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете.

Согласно данным, приведенным в исследовании, частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети. В в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли также фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

В 2019-м году количество доступных серверов с открытым портом 3389 превысило 3 миллиона, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере.

По оценкам экспертов операторы вымогателей в прошлом году вышли на новый уровень. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа. Эксперты опасаются, что 2020 год может установить антирекорд по количеству атак и размеру ущерба.

Ведущий специалист Лаборатории компьютерной криминалистики Group-IB Олег Скулкин считает, что атакующие не планируют снижать набранную в прошлом году скорость.

По его мнению, мошенники продолжат совершать масштабные операции, нацеленные на крупные корпоративные сети, у которых достаточно ресурсов, чтобы удовлетворить их требования о выкупе. Олег Скулкин утверждает, что ущерб от операций шифровальщиков продолжает расти. Он напоминает, что согласно данным из открытых источников, средний размер выкупа в первом квартале этого года уже превысил $110 000.
Объясняя популярность шифровальщиков, Олег Скулкин говорит, что для достижения цели, их операторам требуется лишь скомпрометировать сеть, в то время как в атаках с использованием других видов вредоносного ПО, это лишь программа-минимум.

«У операторов шифровальщиков достаточно гостеприимный рынок, в прошлом году мы видели, что все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа. Это значительно облегчает вход новых игроков в эту киберпреступную индустрию», — сообщает Олег Скулкин.

Подобный рост шифровальщиков отмечает и руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев. «В последние месяцы мы наблюдаем повышение количества атак типа Ransomware примерно на треть (около 30%). Злоумышленники активно пользуются тематикой пандемии коронавируса для реализации фишинга и технических векторов социальной инженерии на этапах первичной загрузки вредоносного ПО. Также увеличению активности атакующих способствует массовый переход организаций в режим удаленной работы, в результате которого происходит смещение фокуса служб ИБ, меняются привычные процессы мониторинга ИБ, появляются незащищенные интерфейсы удаленного доступа и т.д.», — сообщает Алексей Мальнев.

Менеджер по развитию бизнеса ИБ-компании Cross Technologies Константин Радыгин убежден, что глобальная пандемия привела к росту удаленных подключений к инфраструктурным ресурсам компаний, внешнего почтового трафика, посещению зараженных сайтов. Он утверждает, что на данный момент происходит активный захват пользовательских устройств, корпоративных сетей и облачных ресурсов для закрепления и дальнейшего достижения целей злоумышленников. Атаки вирусов-шифровальщиков являются вторым или третьим этапом в проведении комплексного взлома. В связи с этим, считает Константин Радыгин, количество атак вирусов-шифровальщиков в последнее время составляет около 10% по сравнению с другими видами мошенничества. «В ближайшее время статистика резко изменится и данные атаки вернутся с новой силой. Данный тип атак изначально был направлен в большей степени на банковский сектор, но нужно не забывать, что степень его защищенности находится на высоком уровне. Однако ресурсы на проведения атак растут, как и эволюционируют сами технологии», — полагает Константин Радыгин.

«Основные причины – простота реализации и возможность прямой финансовой выгоды», — считает руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев. По его мнению, чаще всего цель злоумышленника заключается не столько в том, чтобы украсть и получить удаленное управление, сколько в ограничении доступности данных для владельца с целью последующего шантажа. Алексей Мальнев утверждает, что с точки зрения информационной безопасности, реализация Ransomware имеет несколько более короткий цикл компрометации относительно типовой сложной таргетированной угрозы. «Злоумышленнику достаточно преодолеть защиту, загрузить вредоносное ПО и обеспечить его запуск. Дальнейшая конспирация действий тут уже не нужна, хотя иногда требуется реализовать механизм распространения угрозы (т.н. горизонтальное распространение, как это реализует известный сетевой червь WannaCry) в инфраструктуре для большего покрытия и потенциального ущерба», — отмечает Алексей Мальнев. ​

Ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев объясняет рост данного вида мошенничества тремя факторами. «Первое, восстановление после провала популярности: майнеры упали по степени выгодности, и злоумышленники переключились на иное направление. Второе, огромное количество услуг, делающих использование вредоносного ПО доступным для непрофессионалов (от заказа трояна и до вывода денег, причем все это доступно в обычной сети интернет без даркнета). И третье, эпидемия, уронившая доходы с одной стороны и создавшая возможность атак на удаленных сотрудников с другой», — сообщает Вячеслав Медведев. Он утверждает, что возросшая популярность шифровальщиков связана с их широкой известностью. «За сегодня в нашу базу данных попало 3 шифровальщика. Если же посмотреть на рекламное вредоносное ПО, то его гораздо больше. И зарабатывают создатели рекламного ПО, говорят, куда больше. А все потому, что не привлекают к себе внимания и крадут понемногу. А вот шифровальщики на слуху. О них много пишут. При том, что уровень заражения иными типами вредоносного ПО иногда в разы выше», — говорит Вячеслав Медведев. По его мнению, количество новых образцов шифровальщиков, обнаруживаемых в день, даже сократилось. «Если, скажем, сегодня мы обнаружили 3 новых образца, то пару лет назад в день создавалось 10 и более образцов. Другой вопрос, что шифровальшики достигли определенного уровня совершенства, процент расшифровки сейчас ниже, чем ранее», — информирует Вячеслав Медведев.

«В первые месяцы 2020 года количество результативных атак с участием вирусов-шифровальщиков продолжило расти», — отмечает рост колличества шифровальщиков руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. По его словам активное распространение данного типа угроз можно связать с использованием ряда прогрессивных технологий, которые позволяют запускать вирусы-шифровальщики незаметно и долго скрывать присутствие вредоносного ПО в корпоративных сетях.

«Многократный рост средней суммы выкупа — это, в том числе, результат смены тактики у многих операторов вирусов-шифровальщиков. Киберпреступники стали использовать так называемый «двойной выкуп»: сначала от компании-жертвы требуют плату за расшифровку и возврат данных, затем угрожают опубликовать имеющуюся копию данных в Сети, вынуждая компанию перечислить еще некоторую сумму денег», — отмечает Андрей Арсентьев.

Причем, как отмечает Андрей Арсентьев, после внесения выкупа проблемы компании не всегда заканчиваются. «После воздействия шифровальщиков нужно проводить сложное и дорогостоящее расследование, восстанавливать работоспособность систем, объясняться с контрагентами и клиентами (особенно если были затронуты их данные). Так, крупная ИТ-компания Cognizant (входит в список Fortune 500), пострадавшая недавно от вируса-шифровальщика Maze, оценила свой ущерб от атаки в 50-70 миллионов долларов во втором квартале», — объясняет Андрей Арсентьев.

Что же качается прогнозов на 2020 год, Алексей Мальнев считает, что если прогнозировать поквартально, то, скорее всего, статистика будет неравномерной, потому что всплески угроз часто сопровождают экономические и политические кризисы. «Если ситуация будет улучшаться, то за относительными всплесками последуют падения в статистике. К тому же исчезнет элемент неразберихи, службы ИБ приспособятся и приведут процессы в порядок, адаптируются к удаленной работе. Однако можно вполне ожидать, что общий прирост атак данного типа составит порядка 20% в годовом исчислении», — прогнозирует Алексей Мальнев.

Такого же прогноза на увеличение придерживается и Вячеслав Медведев, отмечая, что на данный момент рост заявок на расшифровку подобных вирусов показывает устойчивый рост. «Скорее всего, как минимум до конца 2020 года агрессивное распространение вирусов-шифровальщиков продолжится. Далее многие компании могут внедрить эффективные средства защиты, тем более на рынке уже есть соответствующие решения», — считает Андрей Арсентьев.

Читать новость в источнике ComNews

0