Шифровальщики бьют рекорды

Специалисты Positive Technologies проанализировали актуальные киберугрозы II квартала 2021 г. Анализ показал рекордное количество атак с использованием программ-шифровальщиков, смену методов атак на отрасль торговли, а также тенденцию к созданию вредоносов, нацеленных на Unix-системы.

По данным анализа, количество атак во II квартале 2021 г. увеличилось лишь на 0,3% в сравнении с I кварталом. Эксперты считают, что подобного замедления следовало ожидать, так как компании успели адаптироваться к работе в условиях пандемии, в том числе приняли меры по защите сетевого периметра и систем удаленного доступа.

Однако во II квартале побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Наибольшее количество инцидентов выявлено специалистами в апреле (45%). Тем не менее нашумевшие атаки на крупнейшую трубопроводную систему США Colonial Pipeline и полицию округа Колумбия, которые привлекли внимание правоохранительных органов, сказались на активности операторов и распространителей шифровальщиков, и уже в июне число атак с использованием вымогательского ПО снизилось вдвое.

В исследовании Positive Technologies отмечается, что на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени можно ожидать исчезновения так называемых партнеров как отдельной роли, а их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую.

Среди других тенденций, которые отмечают эксперты компании, - укрепившийся тренд на создание вредоносов, нацеленных на Unix-системы.

Одной из самых заметных тенденций стало изменение ландшафта киберугроз в сфере торговли. Эксперты обратили внимание на значительное снижение числа атак с использованием так называемых веб-скиммеров. При этом интерес к этой отрасли у злоумышленников, распространяющих шифровальщики, только растет. Доля атак с использованием программ-вымогателей среди атак с применением ВПО во II квартале составила в торговле 95%. Эксперты связывают эти изменения с тем, что раньше основной целью злоумышленников, атакующих торговые компании, была кража данных - платежных реквизитов, персональных и учетных данных клиентов. Сейчас же преступники все чаще преследуют прямую финансовую выгоду, рассчитывая получить крупный выкуп

"Мы привыкли к мысли, что злоумышленники, распространяющие ВПО, - проблема систем на базе Windows. Сейчас мы видим укрепление тренда на создание вредоносов для атак на Unix-системы, средства виртуализации и оркестраторы. Все больше компаний, в том числе крупных, используют ПО на базе Unix, и логично, что злоумышленники стали обращать внимание также на эти системы", - говорит аналитик информационной безопасности Positive Technologies Яна Юракова.

Руководитель направления ESET Threat Intelligence Александр Пирожков рассказывает, что специалисты ESET прогнозируют увеличение числа атак шифровальщиков. По его словам, России это касается напрямую - это связано с импортозамещением в сфере программного обеспечения, поскольку идет переход с Windows на альтернативные системы, угроз с функциями шифрования для них становится больше. У злоумышленников появилась альтернатива Windows. Александр Пирожков считает, что особую опасность представляют атаки на цепочки поставок, когда хакеры взламывают поставщика услуг и через него внедряют шифровальщики. Поэтому главная задача при переходе на альтернативные системы - обезопасить техническую среду.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что рост числа атак с использованием вирусов-шифровальщиков во II квартале удалось сдержать во многом благодаря активной позиции Соединенных Штатов. "Новый президент Джо Байден провозгласил борьбу с киберпреступностью одним из приоритетов своей администрации, ФБР стало расследовать больше дел, где фигурируют программы-вымогатели, рабочую группу по этому типу угроз создал американский Минюст. Кроме того, ФБР в следующем финансовом году может получить дополнительно порядка $40 млн на проекты противодействия вредоносному ПО.

Вместе с тем компании во всем мире постепенно адаптируют системы защиты к атакам с использованием вымогателей", - объясняет Андрей Арсентьев.

По его словам, сейчас можно осторожно прогнозировать, что результативность действий хакеров, владеющих вирусами-вымогателями, пойдет на спад если не в этом году, то в течение 2022 г. "Обязательное условие для этого - подрыв экономики киберпреступников. Нужно сделать так, чтобы хакерам стало атаковать сложнее, дороже и они как можно реже получали бы деньги от компаний-жертв. То есть необходимо, во-первых, совершенствовать системы защиты и проводить тренинги среди персонала - все-таки до 40% вредоносных программ проникают в сети компаний через фишинговые атаки. Во-вторых, не стоит идти на поводу хакеров и выплачивать выкуп - это только еще больше развращает киберпреступников и подпитывает криминальные схемы.

Вполне вероятно, в конце 2021 г. будет продолжен наметившийся тренд на сокращение распространения вирусов-вымогателей по модели RaaS - "вредоносное ПО как услуга". Такая тактика уже не приносит желаемой отдачи крупным операторам вредоносного ПО, поэтому они будут чаще использовать собственные силы и меньше рассчитывать на "партнеров", - сказал Андрей Арсентьев.

Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Олег Скулкин подчеркивает, что подавляющее большинство финансово мотивированных хакеров уже продолжительное время занимаются атаками с использованием программ-вымогателей, сейчас это киберугроза №1. Согласно исследованию Group-IB, количество атак шифровальщиков выросло за год более чем на 150% по сравнению с предыдущим годом. Олег Скулкин говорит, что после ряда серьезных инцидентов количество активных партнерских программ несколько снизилось, но уже сейчас их место заняли новые группы. Более того, активность операторов программ-вымогателей в России только росла, мало зависела от громких атак за рубежом.

По словам Олега Скулкина, данный рост количества таких атак связан в первую очередь с низким порогом входа и достаточно высокой прибылью. "Кроме того, подобные атаки актуальны практически для любой организации, что значительно расширяет круг потенциальных жертв и позволяет совершать успешные атаки даже наименее подготовленным злоумышленникам. В первую очередь следует отметить, что это не совсем атаки на альтернативные системы вне контекста Windows. Дело в том, что корпоративные сети часто состоят из устройств под управлением разных операционных систем, соответственно, наиболее значимые данные могут храниться и на Unix-системах, что, безусловно, привлекает интерес злоумышленников, а вместе с этим заставляет их разрабатывать соответствующие версии программ-вымогателей. При этом на данный момент основной фокус злоумышленников приходится именно на ESXi-серверы. Повышение интереса к Unix мы предсказывали еще в нашем отчете "Программы-вымогатели 2020/21", - сообщил Олег Скулкин.

Руководитель отдела исследования сложных угроз "Лаборатории Касперского" Владимир Кусков также отмечает повышенную активность по шифровальщикам во II квартале 2021 г. Эксперты "Лаборатории Касперского" соглашаются с данным исследованием и тоже подчеркивают, что многие группировки стали делать версии шифровальщиков под linux. Во II квартале 2021 г. эксперты "Лаборатории Касперского" обнаружили 14 новых семейств шифровальщиков и 3905 новых модификаций зловредов этого типа.

"Во II квартале продолжались целевые атаки шифровальщиков на крупные организации. Возможно, самым громким событием квартала стала атака вымогателей из группировки DarkSide на Colonial Pipeline - одного из самых крупных операторов топливных трубопроводов в США. Последствием инцидента стали перебои с топливом и объявление чрезвычайного положения в четырех штатах. В расследовании атаки участвовали ФБР и несколько других государственных организаций США, а информация о случившемся была доведена до президента США Джо Байдена. Для злоумышленников такая внезапная слава оказалась нежелательной. Создатели DarkSide опубликовали в своем блоге пост, в котором сваливают вину на "сторонних" операторов. Впоследствии опубликован еще один пост о том, что разработчики DarkSide потеряли доступ к части своей инфраструктуры и закрывают сервис и партнерскую программу", - рассказал Владимир Кусков.

Эксперт по информационной безопасности компании "Акронис Инфозащита" Евгений Родыгин подчеркнул, что тенденция соответствует наблюдениям экспертов "Акронис Инфозащиты". Однако рост, по его словам, нельзя назвать взрывным или исключительным: шифровальщики, уже давно заняв лидирующую позицию среди угроз, сохраняют рост, а после стрессового 2020 г., когда эффективность вредоносного ПО была особенно высокой, наблюдаются изменения по типам внутри общего объема атак.

По прогнозам Евгения Родыгина, количество атак закономерно будет расти вместе с ростом применения и проникновения в экономику и жизнь информационных технологий. "Стоимость разработки ВПО постоянно снижается, соответственно, число атак увеличивается. Скорее всего, мы приходим к состоянию, когда ВПО будет формироваться с применением ИИ в полностью автоматическом режиме. Нужно отметить, что рост, особенно в сфере ретейла, связан еще и с тем, что риск потери данных и приостановки деятельности воспринимается в этой сфере особенно болезненно в связи с особенностями ведения бизнеса. Это повышает эффективность монетизации успешных атак программ-шифровальщиков в этой сфере. На фоне успешной монетизации атак на ретейл эта сфера стала привлекать злоумышленников из других областей", - сообщил Евгений Родыгин.

Ведущий системный инженер Varonis Александр Ветколь говорит, что тренды на смещение фокуса по тем или иным атакам действительно наблюдаются. "Как и в любом бизнесе, они зависят от спроса, а также "понимания своего клиента". Количество атак, конечно, будет расти. Но в структуре же самих атак шифровальщики будут продолжать выделяться, если не процентным соотношением, то качеством проработки целевых атак. Злоумышленники будут стремиться создать ситуацию, когда действительно выгоднее будет заплатить огромный выкуп и быстро вернуть себе контроль за средой, нежели с ноля восстанавливать все системы, потеряв при этом исторические данные (например, историю заказов, включая ещё не "доехавшие" до конечного покупателя отправления)", - прогнозирует Александр Ветколь.

Александр Ветколь подчекивает, что при обнаружении уязвимостей, позволяющих распространить вредоносное ПО на популярные дистрибутивы с произвольными версиями ядер, эксплойты будут распространяться, как лесной пожар. "Поэтому об эпидемии говорить преждевременно. А вот отслеживать защищенность своих систем совершенно не лишне. В случае, когда они защищены актуальными патчами, остается единственная брешь в защите - излишние права доступа у пользователей, которым он не требуется". – объясняет Александр Ветколь.