Более половины всех почтовых рассылок вредоносных программ в первой половине 2019 г. пришлись на вирусы-шифровальщики. Об этом сообщает Group-IB. Чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией. По данным специалистов Group-IB, более 80% всех вредоносных файлов для маскировки доставлялись в архивах zip и rar.

© ComNews
21.11.2019

Если в 2018 г. угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 г. существенно ухудшилась ситуация с шифровальщиками: они вновь вернулись на первое место (54%).

Исследование GIB основано на данных, полученных системой Threat Detection System Polygon, в рамках предотвращения и обнаружения угроз в интернете в первом полугодии 2019 г. в 60 странах мира. Согласно выводам экспертов, основным способом доставки вредоносных программ - шифровальщиков, банковских троянов, бэкдоров по-прежнему остается электронная почта.

Если во второй половине 2018 г. доля загрузок вредоносных программ с помощью веб-браузера сократилась до минимума и составляла не более 5%, то в первой половине 2019 г. только каждая 19-я загрузка не была связана с почтовой рассылкой.

В первой половине 2019 г. наблюдается 10-кратный рост использования запароленных объектов - документов или архивов. В 2017 г. на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 г. их количество выросло до 3,6%. В первой половине 2019 г. наблюдается аномальный рост до 27,8%.

Также тенденцией стала маскировка вредоносного программного обеспечения в письме. Для того чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых шести месяцев 2019 г. в архивах доставлялось более 80% всех вредоносных объектов. В основном для этого использовались форматы zip (32%) и rar (25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением - в теме письма, либо в названии архива, либо в ходе переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018 г. на ссылки приходилось вдвое меньше ВПО.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта, и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

"Современные киберпреступники обладают инструментами, позволяющими убедиться, что рассылаемый вредоносный экземпляр не детектируется популярными антивирусными средствами, - отмечает руководитель Центра реагирования на инциденты кибербезопасности CERT-GIB Александр Калинин. - Схемы с вложенными или запароленными архивами, отложенной активацией оказываются оперативно обнаруженными только в случае использования продвинутых систем раннего предотвращения кибератак, а вместе со сложным поведенческим анализом позволяют успешно детектировать ранее неизвестные экземпляры ВПО".

Для того чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных файлов слова "платеж", "приглашение", "скан", "акт", то в этом году чаще всего применяют "документы", "заказ", "ордер" или "пароль". В атаках на международные организации наиболее часто встречающимися заголовками стали payment, scan, voice message, new order, invoice и т.д. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносный аттач. Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который, в свою очередь, представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска - специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

Согласно отчету Cyber Attack Trends: 2019 Mid-Year Report компании Check Point, злоумышленники активно эксплуатируют фишинговые рассылки. Если в начале года в тройку самых активных зловредов стабильно входили криптомайнеры, то с закрытием популярных сервисов (таких как Coinhive и Authedmine) хакеры переключились на программы-шифровальщики и банковские трояны. За последние три месяца 25% вредоносных файлов доставлялись в российские компании именно через электронную почту (глобально - 37%), 42% файлов - в формате *.exe (глобально меньше - всего 29%).

Как рассказывает глава представительства Check Point Software Technolоgies в России и СНГ Василий Дягилев, злоумышленники применяют методы социальной инженерии, а также изменение и персонализацию содержимого электронных писем. "Летом Check Point Research зафиксировала рост фишинговых писем, якобы предложений от туристических фирм и авиакомпаний, где скрывались вредоносные ссылки. Ближе к бизнес-сезону на электронные адреса российских компаний стали чаще приходить письма, имитирующие бухгалтерские документы с названиями "Закрывающие документы вторник" и "Документы сентябрь", - говорит представитель Check Point. - C файлами доставлялась вредоносная программа Pony, предназначенная в первую очередь для кражи учетных данных пользователей". В сентябре, по его словам, с помощью Pony атаковали 15% российских компаний.

Согласно статистике Positive Technologies, трояны-вымогатели входят в топ-4 наиболее популярного для купли-продажи в дарквебе вредоносного ПО. На их долю приходится до 12% всех объявлений о продаже. Средняя стоимость вредоносного ПО такого типа не превышает $270. "При этом не менее показательными являются результаты нашего ежеквартального анализа актуальных угроз: использование вредоносного ПО лидирует при атаках на юридические лица (до 61% всех атак выполняются с его использованием), а непосредственно шифровальщики прочно входят в тройку лидеров среди всех типов вредоносного ПО, используемых при атаках", - сказал ведущий специалист PT Expert Security Center Positive Technologies Денис Кувшинов.

Сейчас популярна услуга ransomware-as-a-service. Работает это как подписка на сервис. Любой пользователь с помощью услуги может заказать атаку с использованием шифровальщика.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев считает, что в 2019 г., действительно, более активно, чем ранее, распространяются почтовые вирусы-шифровальщики. "На наш взгляд, в зоне особого риска такие отрасли, как образование и здравоохранение, а также муниципальные органы власти. Именно эти вертикали, как правило, ограничены в развитии систем кибербезопасности", - говорит он.

В США есть законодательно закрепленная практика уведомлений об инцидентах. Атаки шифровальщиков там фиксируются ежедневно. В России компании не обязаны раскрывать факты кибератак, поэтому в публичном информационном поле подобных сообщений практически нет. "Скорее всего, в 2020 г. распространение вирусов-шифровальщиков продолжится с новой силой. При этом злоумышленники чаще будут делать ставку на таргетированные атаки с использованием шифровальщиков, проводя тщательную разведку с целью выявить слабые места в инфраструктуре потенциальной жертвы и получить максимальный выкуп", - прогнозирует Андрей Арсентьев.

Новости из связанных рубрик