Шифровальщики поставят антирекорд

Согласно исследованию лаборатории компьютерной криминалистики Group-IB "Программы-вымогатели: новейшие методы атак шифровальщиков", количество атак вирусов-шифровальщиков в 2019 г. по сравнению с предыдущим годом возросло на 40%. Размер среднего требуемого выкупа также серьезно увеличился. Наибольшие суммы требуют шифровальщики семейства Ryuk, DoppelPaymer и REvil - их единовременные требования о выкупе достигали $800 тыс.

В исследовании сообщается, что цели мошенников сместились в корпоративный сектор, так как тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы. Жертвами оказывались муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа возрос с $8000 в 2018 г. до $84 тыс. в 2019 г. Одним из заимствованных приемов стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете.

Согласно данным, приведенным в исследовании, частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети. В топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли также фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

В 2019 г. количество доступных серверов с открытым портом 3389 превысило 3 млн, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, применяя, например, уязвимости в браузере.

По оценкам экспертов, операторы вымогателей в прошлом году вышли на новый уровень. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей "в аренду" в обмен на часть выкупа. Эксперты опасаются, что 2020 г. может установить антирекорд по количеству атак и размеру ущерба.

Ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин считает, что атакующие не планируют снижать набранную в прошлом году скорость.

По его мнению, мошенники продолжат совершать масштабные операции, нацеленные на крупные корпоративные сети, у которых достаточно ресурсов, чтобы удовлетворить требования о выкупе. Олег Скулкин утверждает, что ущерб от операций шифровальщиков продолжает расти. Он напоминает, что, согласно данным из открытых источников, средний размер выкупа в I квартале этого года уже превысил $110 тыс.
Объясняя популярность шифровальщиков, Олег Скулкин говорит, что для достижения цели их операторам требуется лишь скомпрометировать сеть, в то время как в атаках с использованием других видов вредоносного ПО это лишь программа-минимум.

"У операторов шифровальщиков достаточно гостеприимный рынок: в прошлом году мы видели, что все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей "в аренду" в обмен на часть выкупа. Это значительно облегчает вход новых игроков в эту киберпреступную индустрию", - сообщает Олег Скулкин.

Подобный рост шифровальщиков отмечает и руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании "Инфосистемы Джет" Алексей Мальнев. "В последние месяцы мы наблюдаем повышение количества атак типа Ransomware примерно на треть - около 30%. Злоумышленники активно пользуются тематикой пандемии коронавируса для реализации фишинга и технических векторов социальной инженерии на этапах первичной загрузки вредоносного ПО. Также увеличению активности атакующих способствует массовый переход организаций в режим удаленной работы, в результате которого происходит смещение фокуса служб ИБ, меняются привычные процессы мониторинга ИБ, появляются незащищенные интерфейсы удаленного доступа и т.д.", - сообщает Алексей Мальнев.

Менеджер по развитию бизнеса ИБ-компании Cross Technologies Константин Радыгин убежден, что глобальная пандемия привела к росту удаленных подключений к инфраструктурным ресурсам компаний, внешнего почтового трафика, посещению зараженных сайтов. Он утверждает, что на данный момент происходит активный захват пользовательских устройств, корпоративных сетей и облачных ресурсов для закрепления и дальнейшего достижения целей злоумышленников. Атаки вирусов-шифровальщиков являются вторым или третьим этапом в проведении комплексного взлома. В связи с этим, считает Константин Радыгин, количество атак вирусов-шифровальщиков в последнее время составляет около 10% по сравнению с другими видами мошенничества. "В ближайшее время статистика резко изменится и данные атаки вернутся с новой силой. Данный тип атак изначально был направлен в большей степени на банковский сектор, но нужно не забывать, что степень его защищенности находится на высоком уровне. Однако ресурсы на проведения атак растут, как и эволюционируют сами технологии", - полагает Константин Радыгин.

"Основные причины - простота реализации и возможность прямой финансовой выгоды", - считает Алексей Мальнев. По его мнению, чаще всего цель злоумышленника заключается не столько в том, чтобы украсть и получить удаленное управление, сколько в ограничении доступности данных для владельца с целью последующего шантажа. Алексей Мальнев утверждает, что с точки зрения информационной безопасности, реализация Ransomware имеет несколько более короткий цикл компрометации относительно типовой сложной таргетированной угрозы. "Злоумышленнику достаточно преодолеть защиту, загрузить вредоносное ПО и обеспечить его запуск. Дальнейшая конспирация действий тут уже не нужна, хотя иногда требуется реализовать механизм распространения угрозы - так называемое горизонтальное распространение, как это реализует известный сетевой червь WannaCry, - в инфраструктуре для большего покрытия и потенциального ущерба", - отмечает Алексей Мальнев. ​

Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев объясняет рост данного вида мошенничества тремя факторами. "Первое - восстановление после провала популярности: майнеры упали по степени выгодности, и злоумышленники переключились на иное направление. Второе - огромное количество услуг, делающих использование вредоносного ПО доступным для непрофессионалов - от заказа трояна и до вывода денег, причем все это доступно в обычной сети интернет без даркнета. И третье - эпидемия, уронившая доходы с одной стороны и создавшая возможность атак на удаленных сотрудников с другой", - сообщает Вячеслав Медведев. Он утверждает, что возросшая популярность шифровальщиков связана с их широкой известностью. "За сегодня в нашу базу данных попало три шифровальщика. Если же посмотреть на рекламное вредоносное ПО, то его гораздо больше. И зарабатывают создатели рекламного ПО, говорят, куда больше. А все потому, что не привлекают к себе внимания и крадут понемногу. А вот шифровальщики на слуху. О них много пишут. Притом что уровень заражения иными типами вредоносного ПО иногда в разы выше", - говорит Вячеслав Медведев. По его мнению, количество новых образцов шифровальщиков, обнаруживаемых в день, даже сократилось. "Если, скажем, сегодня мы обнаружили три новых образца, то пару лет назад в день создавалось 10 и более образцов. Другой вопрос, что шифровальщики достигли определенного уровня совершенства, процент расшифровки сейчас ниже, чем ранее", - информирует Вячеслав Медведев.

"В первые месяцы 2020 г. количество результативных атак с участием вирусов-шифровальщиков продолжило расти", - отмечает рост количества шифровальщиков руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. По его словам, активное распространение данного типа угроз можно связать с использованием ряда прогрессивных технологий, которые позволяют запускать вирусы-шифровальщики незаметно и долго скрывать присутствие вредоносного ПО в корпоративных сетях.

"Многократный рост средней суммы выкупа - это в том числе результат смены тактики у многих операторов вирусов-шифровальщиков. Киберпреступники стали использовать так называемый двойной выкуп: сначала от компании-жертвы требуют плату за расшифровку и возврат данных, затем угрожают опубликовать имеющуюся копию данных в Сети, вынуждая компанию перечислить еще некоторую сумму денег", - отмечает Андрей Арсентьев.

Причем, как отмечает Андрей Арсентьев, после внесения выкупа проблемы компании не всегда заканчиваются. "После воздействия шифровальщиков нужно проводить сложное и дорогостоящее расследование, восстанавливать работоспособность систем, объясняться с контрагентами и клиентами - особенно если были затронуты их данные. Так, крупная ИТ-компания Cognizant - входит в список Fortune 500, - пострадавшая недавно от вируса-шифровальщика Maze, оценила свой ущерб от атаки в $50-70 млн во II квартале", - объясняет Андрей Арсентьев.

Что же качается прогнозов на 2020 г., Алексей Мальнев считает, что если прогнозировать поквартально, то, скорее всего, статистика будет неравномерной, потому что всплески угроз часто сопровождают экономические и политические кризисы. "Если ситуация будет улучшаться, то за относительными всплесками последуют падения в статистике. К тому же исчезнет элемент неразберихи, службы ИБ приспособятся и приведут процессы в порядок, адаптируются к удаленной работе. Однако можно вполне ожидать, что общий прирост атак данного типа составит порядка 20% в годовом исчислении", - прогнозирует Алексей Мальнев.

Такого же прогноза на увеличение придерживается и Вячеслав Медведев, отмечая, что на данный момент рост заявок на расшифровку подобных вирусов показывает устойчивый рост. "Скорее всего, как минимум до конца 2020 г. агрессивное распространение вирусов-шифровальщиков продолжится. Далее многие компании могут внедрить эффективные средства защиты, тем более на рынке уже есть соответствующие решения", - считает Андрей Арсентьев.