Эксперты Positive Technologies проанализировали кибератаки в I квартале 2020 г. и выяснили, что число киберинцидентов значительно выросло по сравнению с предыдущим кварталом, около 13% фишинговых атак были связаны с темой COVID-19 и все больше операторов шифровальщиков требуют выкуп за неразглашение похищенной информации.
© ComNews
17.06.2020

По данным исследования, в I квартале 2020 г. выявлено на 22,5% больше кибератак, чем в IV квартале 2019 г. Специалисты отмечают, что актуальность заражения вредоносным ПО растет. В течение квартала высокую активность проявляли 23 APT-группировки, атаки которых были направлены преимущественно на государственные учреждения, промышленные предприятия, финансовую отрасль и медицинские организации.

Как показал анализ, более трети (34%) всех атак на юридические лица с использованием ВПО составили атаки троянов-шифровальщиков. Эксперты отмечают, что некоторые операторы шифровальщиков создали собственные сайты, на которых публикуют похищенные у жертв файлы в случае отказа платить выкуп. Каждая десятая атака шифровальщиков была направлена на промышленность. При этом в начале года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. По сравнению с последним кварталом прошлого года существенно выросла доля атак на госучреждения с использованием ВПО (81% против 66%) и методов социальной инженерии (79% против 66%). При этом киберпреступники не ограничиваются одним типом ВПО: используют многофункциональные трояны либо загружают на скомпрометированные устройства сразу несколько различных зловредов. Как сообщается в исследовании, около 13% всех фишинговых рассылок в I квартале связаны с темой COVID-19. Чуть менее половины из них (44%) пришлись на частных лиц, а каждая пятая рассылка направлена на государственные организации.

Как сообщается в исследовании, под видом официальной информации о статистике заражений, мерах профилактики и вакцине, рассылаемой якобы от имени государственных органов и медицинских учреждений, в I квартале распространялось вредоносное ПО Emotet, Remcos, AZORult, Agent Tesla, LokiBot, TrickBot и множество других троянов. Рассылки писем с вредоносными вложениями на тему эпидемии проводили группы TA505, Hades, Mustang Panda, APT36, SongXY, а также южнокорейская группировка Higaisa.

Аналитик Positive Technologies Яна Авезова отмечает, что в атаках на юридические лица наибольшую активность проявляли операторы шифровальщиков и шпионского ПО. "Высокая активность шифровальщиков объясняется финансовой выгодой для злоумышленников. Традиционно они требуют выкуп за восстановление зашифрованных данных. Однако в последнее время мы видим тренд на кражу данных и последующее вымогательство денег за их неразглашение. С помощью шпионского ПО у компаний похищают персональные данные сотрудников и клиентов, корпоративные учетные данные, сведения, составляющие коммерческую тайну. Все эти данные высоко ценятся на теневом рынке киберуслуг, поэтому шпионское ПО из квартала в квартал остается одним из самых высокоактивных видов вредоносного ПО", - считает Яна Авезова. По ее словам, заметна также высокая активность в отношении частных лиц со стороны шпионского ПО и банковских троянов. Популярность этих видов вредоносного ПО в атаках на частных лиц объясняется, по мнению Яны Авезовой, тем, что пользователи устанавливают на свои компьютеры и мобильные устройства ПО из недоверенных источников, способствуя тем самым краже личных данных, паролей и данных платежных карт.

"С начала года мы также фиксировали распространение под темой COVID-19 известных банковских троянов Emotet и LokiBot, троянов-стиллеров AZORult и Agent Tesla, а также трояна удаленного доступа Remcos", - информирует руководитель отдела расследования киберинцидентов JSOC CERT компании "Ростелеком-Солар" Игорь Залевский. По его словам, эти семейства уже традиционно наиболее активны и достаточно давно пользуются популярностью у киберпреступников. Их авторы и операторы постоянно задействуют в своих фишинговых рассылках актуальные темы, поэтому неудивительно, что они взяли на вооружение тематику COVID-19. "Скорее всего, злоумышленники продолжат эксплуатировать интерес к коронавирусу и в следующем квартале, хотя уже менее активно, так как обстановка вокруг пандемии постепенно меняется, - говорит Игорь Залевский.

По данным компании Check Point Software Technologies, в апреле-мае самыми активными вредоносными ПО в России становились Agent Tesla (усовершенствованная версия), Emotet, Trickbot, RigEK, XMRig. "В это же время исследователи отметили несколько спам-кампаний, связанных с коронавирусом (COVID-19), которые распространяли разные виды вредоносного ПО - новый вариант трояна Agent Tesla, Emotet. В апреле в топ-три активных ПО в России вошли Emotet, RigEK, XMRig - это показывает, что преступники сосредоточены на организации фишинговых атак для кражи личных и корпоративных данных", - сообщает глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев. По его словам, резкий рост "коронавирусных" атак и появление зарегистрированных доменов с темой коронавируса отмечались с середины марта. Василий Дягилев убежден, что злоумышленники всегда подстраиваются под повестку дня - и если тема COVID-19 будет обсуждаться в ближайшее время, то скорее всего, мы еще увидим атаки с этой темой.

"Еще хочется отметить использование социальной инженерии: в начале апреля компания Dimensional Research провела опрос среди 411 специалистов по ИТ и ИБ по всему миру. Тогда 55% опрошенных экспертов отметили попытки фишинга в качестве основной угрозы. 71% респондентов сообщили об увеличении количества угроз или атак с начала вспышки COVID-19", - отмечает Василий Дягилев.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев утверждает, что, по данным ГК InfoWatch, число утечек информации, спровоцированных внедрением вирусов-шифровальщиков, в январе-мае 2020 г. выросло более чем вдвое. Кроме того, как утверждает Андрей Арсентьев, продолжают расти "аппетиты" операторов шифровальщиков: злоумышленники стали использовать тактику так называемого двойного выкупа.

"Также в первые пять месяцев 2020 г. примерно вдвое выросло число утечек, где в качестве вектора атаки служил фишинг. Во многих фишинговых атаках эксплуатируется тема COVID-19. В мошеннических схемах она вышла на пик в середине весны. Но в III квартале можно ожидать, что злоумышленники реже станут эксплуатировать все, что связано с коронавирусом, для получения финансовой выгоды. Это связано с тем, что для общественности сама тема теряет актуальность: распространение заболевания во многих странах удалось сдержать, число активных случаев в них регулярно снижается", - подчеркивает Андрей Арсентьев. По его мнению, мошенники обязательно найдут новые "наживки". "Активность операторов вирусов-шифровальщиков вряд ли снизится в ближайшее время. Судя по всему, пока компаниям не удается найти эффективные средства борьбы с новой формой этих уже достаточно старых угроз", - считает Андрей Арсентьев.

Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев сообщает, однако, что статистика компании "Доктор Веб" показала в апреле снижение общего числа обнаруженных угроз на 34,5% по сравнению с мартом. При этом, по его словам, традиционно большинство обнаруженных угроз по-прежнему приходятся на долю рекламных программ и вредоносных расширений для браузеров. "В день появляется порядка трех-пяти новых шифровальщиков. Хотя, конечно, опасность от шифровальщиков нельзя недооценивать - в апреле число обращений пользователей за расшифровкой файлов увеличилось на 34,27% по сравнению с мартом", - предупреждает Вячеслав Медведев.

"Мы также отметили резкий рост числа мошеннических ресурсов, связанных с коронавирусом. Но за резким ростом наступил спад. Если можно так выразиться - рынок перенасытился. Все мошенники стали "работать" по теме коронавируса, а интерес к этой теме стал быстро спадать. Люди получили нужную информацию, стали меньше реагировать на мошеннические предложения. Вполне возможно, будет небольшой вторичный всплеск, когда появится вакцина", - отмечает Вячеслав Медведев. Он также полагает, что можно ожидать следующей темой, которую будут окучивать мошенники, туризм. Возможны также рассылки по теме решения проблем с бизнесом

Эксперт по кибербезопасности "Лаборатории Касперского" Дмитрий Галов сообщает, что в I квартале 2020 г. решениями "Лаборатории Касперского" для защиты мобильных устройств было обнаружено более 42 тыс. установочных пакетов мобильных банковских троянцев. По его словам, это самое высокое значение за последние полтора года, более чем в 2,5 раза превышающее показатель IV квартала 2019 г. Дмитрий Галов отмечает, что наиболее активными оказались создатели троянцев Trojan-Banker.AndroidOS.Agent (43% от всех обнаруженных установочных пакетов), Trojan-Banker.AndroidOS.Wroba (17%) и Trojan-Banker.AndroidOS.Svpeng (14%).

"Первые три месяца 2020 г., безусловно, запомнятся пандемией коронавируса и тем, как эту тему эксплуатировали киберпреступники. К примеру, известный банковский троянец Ginp расширил свой функционал: после команды от управляющего сервера он мог открывать на зараженном устройстве веб-страницу под названием Coronavirus Finder. На ней сообщалось, что якобы поблизости от пользователя есть люди, зараженные коронавирусом. Чтобы узнать, где находятся эти люди, жертва должна была заплатить 0,75 евро. Если атакованный пользователь принимал предложение банковского троянца, то его перенаправляли на платежную страницу. После того как жертва вводила реквизиты, она не получала никакой информации о тех, кто заражен коронавирусом и не лишалась указанной суммы. Но вся информация о платежной карте пользователя в итоге передавалась злоумышленникам", - информирует Дмитрий Галов.

Кроме того, как отмечает Дмитрий Галов, в связи с переводом сотрудников на удаленный режим работы одним из самых актуальных вопросов в сфере кибербезопасности стало увеличение числа людей, которые используют инструменты удаленного доступа.

"Один из наиболее популярных протоколов прикладного уровня, позволяющий получать доступ к рабочей станции или серверу под управлением ОС Windows, - это проприетарный протокол Microsoft - RDP. С начала марта "Лаборатория Касперского" зафиксировала рост числа атак семейства Bruteforce.Generic.RDP. Подобные атаки представляют собой попытки подбора логина и пароля для RDP путем систематического перебора всех возможных вариантов, пока не будет найден верный. В марте 2020 г. только в России количество атак такого типа превысило 600 тыс.", - предупреждает Дмитрий Галов. По его мнению, изменение образа жизни людей по всему миру также отразилось на спаме и фишинге. В частности, резко возросло количество мошеннических сайтов с предложениями народных средств для лечения коронавируса, препаратов для укрепления иммунитета, бесконтактных термометров и тестов. Как отмечает Дмитрий Галов, тему коронавируса киберзлоумышленники использовали и в атаках на корпоративный сектор. "К примеру, COVID-19 упоминался в мошеннических письмах как причина, по которой задерживается отправка грузов или из-за которой нужно переоформить заказ. Авторы писем требовали немедленно обработать прикрепленные файлы. В I квартале 2020 г. средняя доля спама в мировом почтовом трафике составила около 55%, а количество попыток перехода на фишинговые страницы - почти 120 млн. Также решениями "Лаборатории Касперского" заблокировано более 49 млн вредоносных почтовых вложений", - подчеркивает Дмитрий Галов.

Ведущий менеджер по продвижению​ компании Cross Technologies Ильяс Киреев сообщает, что, по сравнению с I кварталом текущего года, электронные письма на тему COVID-19 составляли менее 2% от всего спама в мире, антивирусные кампании свидетельствуют, что в I квартале общее количество составляло более 900 тыс. писем, из них более 700 содержали вредоносное программное обеспечение и более 40 тыс. содержали ссылки на зараженные ресурсы.

"Ситуация значительно изменилась, злоумышленники больше стали использовать кампании с применением шифровальщиков для получения финансовой выгоды. Если в I квартале атаки осуществлялись на исследовательские лаборатории, о чем раннее предупреждал Национальный центр кибербезопасности Великобритании (National Cyber Security Center, NCSC), то сейчас атаки осуществляются как на обычных пользователей, так на организации государственного сектора и промышленные предприятия", - говорит Ильяс Киреев. Однако, по его словам, тема пандемии активно используется при взломах государственных учреждений. На волне тренда злоумышленники готовят фишинговые кампании COVID-19 от первых лиц и в рамках межведомственного взаимодействия. По большей части письма содержат якобы рекомендации и инструкции о мерах профилактики для персонала. Далее жертва последовательно выполняет инструкции, и, как следствие, происходит утечка зашифрованных данных или кража данных с последующим шантажом.

"Тема пандемии будет использоваться и далее в ключе последствий на тему розыгрыша лотереи чудодейственной вакцинации от коронавируса, а также будет обыгрываться тематика пожертвований научным сотрудникам исследовательских лабораторий, медработникам и жертвам пандемии. Злоумышленники будут маскироваться долгое время под информационный бюллетень ВОЗ, с содержанием советов о том, как оставаться в безопасности от COVID-19, и предоставлять зараженные ресурсы отслеживания пандемии по всему миру", - считает Ильяс Киреев.

"По нашим прогнозам, во II квартале сохранится высокая доля атак, эксплуатирующих тему COVID-19. Это и фишинговые письма, и сайты на соответствующую тематику, где можно заразиться вредоносным ПО, и фейковые мобильные приложения на тему коронавирусной инфекции. Сохранится высокая активность операторов шифровальщиков, причем наибольший интерес у них будут вызывать больницы, научные институты и другие организации, задействованные во всеобщей борьбе с COVID-19. Кроме того, во II квартале возможна высокая активность злоумышленников в отношении систем удаленного доступа в связи с массовым переходом людей по всему миру на работу из дома", - прогнозирует Яна Авезова.

Новости из связанных рубрик