Шифровальщики бьют рекорды

Специалисты Positive Technologies проанализировали актуальные киберугрозы II квартала 2021 года. Анализ показал рекордное количество атак с использованием программ-шифровальщиков, смену методов атак на отрасль торговли, а также тенденцию к созданию вредоносов, нацеленных на Unix-системы. По данным анализа, количество атак во II квартале 2021 года увеличилось лишь на 0,3% в сравнении с I кварталом. Эксперты считают, что подобного замедления следовало ожидать, так как компании успели адаптироваться к работе в условиях пандемии, в том числе приняли меры по защите сетевого периметра и систем удаленного доступа. Однако во II квартале были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Наибольшее количество инцидентов было выявлено специалистами в апреле (45%). Тем не менее нашумевшие атаки на крупнейшую трубопроводную систему США ColonialPipeline и полицию округа Колумбия, которые привлекли внимание правоохранительных органов, сказались на активности операторов и распространителей шифровальщиков, и уже в июне число атак с использованием вымогательского ПО снизилось вдвое. В исследовании Positive Technologies отмечается, что на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени можно ожидать исчезновения так называемых партнеров как отдельной роли, а их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую. Среди других тенденций, которые отмечают эксперты компании, — укрепившийся тренд на создание вредоносов, нацеленных на Unix-системы. Одной из самых заметных тенденций стало изменение ландшафта киберугроз в сфере торговли. Эксперты обратили внимание на значительное снижение числа атак с использованием так называемых веб-скиммеров. При этом интерес к этой отрасли у злоумышленников, распространяющих шифровальщики, только растет. Доля атак с использованием программ-вымогателей среди атак с использованием ВПО во II квартале составила в торговле 95%. Эксперты связывают эти изменения с тем, что раньше основной целью злоумышленников, атакующих торговые компании, была кража данных — платежных реквизитов, персональных и учетных данных клиентов. Сейчас же преступники все чаще преследуют прямую финансовую выгоду, рассчитывая получить крупный выкуп "Мы привыкли к мысли, что злоумышленники, распространяющие ВПО, — проблема систем на базе Windows, Сейчас мы видим укрепление тренда на создание вредоносов для атак на Unix-системы, средства виртуализации и оркестраторы. Все больше компаний, в том числе крупных, используют ПО на базе Unix, и логично, что злоумышленники стали обращать внимание также на эти системы"? – говорит аналитик информационной безопасности Positive Technologies Яна Юракова. Руководитель направления ESET Threat Intelligence Александр Пирожков рассказывает, что специалисты ESET прогнозируют увеличение числа атак шифровальщиков. По его словам, России это касается напрямую - это связано с импортозамещением в сфере программного обеспечения, поскольку идет переход с Windows на альтернативные системы, угроз с функциями шифрования для них становится больше. У злоумышленников появилась альтернатива Windows. Александр Пирожков считает, что особую опасность представляют атаки на цепочки поставок, когда хакеры взламывают поставщика услуг и через него внедряют шифровальщики. Поэтому главная задача при переходе на альтернативные системы – обезопасить техническую среду. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что рост числа атак с использованием вирусов-шифровальщиков во II квартале удалось сдержать во многом благодаря активной позиции Соединенных Штатов. "Новый президент Джо Байден провозгласил борьбу с киберпреступностью одним из приоритетов своей администрации, ФБР стала расследовать больше дел, где фигурируют программы-вымогатели, рабочую группу по этому типу угроз создал американский Минюст. Кроме того, ФБР в следующем финансовом году может получить дополнительно порядка $40 млн на проекты противодействия вредоносному ПО. Вместе с тем, компании во всем мире постепенно адаптируют системы защиты к атакам с использованием вымогателей", - объясняет Андрей Арсентьев. По словам Андрея Арсентьева, сейчас можно осторожно прогнозировать то, что результативность действий хакеров, владеющих вирусами-вымогателями, пойдет на спад если не в этом году, то в течение 2022 года. "Обязательное условие для этого – подрыв экономики киберпреступников. Нужно сделать так, чтобы хакерам стало атаковать сложнее, дороже и они как можно реже получали бы деньги от компаний-жертв. То есть необходимо, во-первых, совершенствовать системы защиты и проводить тренинги среди персонала (все-таки до 40% вредоносных программ проникают в сети компаний через фишинговые атаки), а во-вторых, не стоит идти на поводу хакеров и выплачивать выкуп – это только еще больше развращает киберпреступников и подпитывает криминальные схемы. Вполне вероятно, в конце 2021 году будет продолжен наметившийся тренд на сокращение распространения вирусов-вымогателей по модели RaaS ("вредоносное ПО как услуга"). Такая тактика уже не приносит желаемой отдачи крупным операторам вредоносного ПО, поэтому они будут чаще использовать собственные силы и меньше рассчитывать на "партнеров"", - сказал Андрей Арсентьев. Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Олег Скулкин подчеркивает, что подавляющее большинство финансово-мотивированных хакеров уже продолжительное время занимается атаками с использованием программ-вымогателей, сейчас это киберугроза №1. Согласно исследованию Group-IB количество атак шифровальщиков выросло за год более чем на 150% по сравнению с предыдущим годом. Олег Скулкин говорит, что после ряда серьезных инцидентов количество активных партнерских программ несколько снизилось, но уже сейчас их место заняли новые группы. Более того, активность операторов программ-вымогателей в России только росла, мало зависела от громких атак зарубежом. По словам Олега Скулкина, данный данный рост количества таких атак связан, в первую очередь, с низким порогом входа и достаточно высокой прибылью. "Кроме того, подобные атаки актуальны практически для любой организации, что значительно расширяет круг потенциальных жертв, и позволяет совершать успешные атаки даже наименее подготовленным злоумышленникам. В первую очередь следует отметить, что это не совсем атаки на альтернативные системы вне контекста Windows. Дело в том, что корпоративные сети часто состоят из устройств под управлением разных операционных систем, соотвественно наиболее значимые данные могут храниться и на Unix-системах, что, безусловно, привлекает интерес злоумышленников, а вместе с этим заставляет их разрабатывать соотвествующие версии программ-вымогателей. При этом, на данный момент основной фокус злоумышленников приходится именно на ESXi-серверы. Повышение интереса к Unix мы предсказывали еще в нашем отчете Программы-вымогатели 2020/21", - сообщил Олег Скулкин. Руководитель отдела исследования сложных угроз "Лаборатории Касперского" Владимир Курсков отмечает, что также отмечает повышенную активность по шифровальщикам во 2 квартале 2021 года. Эксперты "Лаборатории Касперского" соглашаются с данным исследованием и тоже отмечают, что многие группировки стали делать версии шифровальщиков под linux. Во втором квартале 2021 года эксперты "Лаборатории Касперского" обнаружили 14 новых семейств шифровальщиков и 3905 новых модификаций зловредов этого типа. "Во втором квартале продолжались целевые атаки шифровальщиков на крупные организации. Возможно, самым громким событием квартала стала атака вымогателей из группировки DarkSide на Colonial Pipeline — одного из самых крупных операторов топливных трубопроводов в США. Последствием инцидента стали перебои с топливом и объявление чрезвычайного положения в четырех штатах. В расследовании атаки участвовали ФБР и несколько других государственных организаций США, а информация о случившемся была доведена до президента США Джо Байдена. Для злоумышленников такая внезапная слава оказалась нежелательной. Создатели DarkSide опубликовали в своем блоге пост, в котором сваливают вину на "сторонних" операторов. Впоследствии был опубликован еще один пост о том, что разработчики DarkSide потеряли доступ к части своей инфраструктуры и закрывают сервис и партнерскую программу", - рассказал Владимир Курсков. Эксперт по информационной безопасности компании "Акронис Инфозащита" Евгений Родыгин подчеркнул, что тенденция соответствует наблюдениям экспертов "Акронис Инфозащита". Однако рост, по его словам, нельзя назвать взрывным или исключительным, шифровальщики, уже давно заняв лидирующую позицию среди угроз, сохраняют рост, а после стрессового 2020 года, когда эффективность вредоносного ПО была особенно высокой, наблюдаются изменения по типам внутри общего объема атак. По прогнозам Евгения Родыгина, количество атак закономерно будет расти вместе с ростом применения и проникновения в экономику и жизнь информационных технологий. "Стоимость разработки ВПО постоянно снижается, соответственно, число атак увеличивается. Скорее всего мы приходим к состоянию, когда ВПО будет формироваться с применением ИИ в полностью автоматическом режиме. Нужно отметить, что рост особенно в сфере ритейла связан еще и с тем, что риск потери данных и приостановки деятельности воспринимается в этой сфере особенно болезненно в связи с особенностями ведения бизнеса. Это повышает эффективность монетизации успешных атак программ-шифровальщиков в этой сфере. На фоне успешной монетизации атак на ритейл эта сфера стала привлекать злоумышленников из других областей", - сообщил Евгений Родыгин. Ссылка на источник