Вайперы атакуют

Как показали результаты глобального исследования Positive Technologies, в I квартале 2022 г. количество атак увеличилось на 14,8% по сравнению с предшествующим периодом. Это стало прямым следствием обострения киберпротивостояния между различными странами. Чаще всего атакам подвергались государственные и медицинские учреждения, а также промышленные компании. Также в пятерку наиболее часто атакуемых отраслей попали СМИ. На них приходилось около 5% атак.

"Приоритеты хакеров остаются прежними: государственные структуры, крупный бизнес, популярные СМИ, застройщики, социальные организации. Отдельно выделяем рост различных атак на медиаресурсы: например, в феврале 2022 г. число DDoS-атак на медиаресурсы в России выросло в 43 раза по сравнению с январем. По данным статистики Kaspersky Anti-Targeted Attack Platform, наблюдается восходящий тренд по количеству организаций, подвергшихся вредоносным почтовым рассылкам. Так, по сравнению с январем этого года в феврале таких организаций стало больше на 12%, в марте - на 33%. Количество уникальных вредоносных объектов в рассылках в феврале выросло на 128%, в марте - на 249%. Больше всего таких рассылок наблюдается в России, но рост зафиксирован также в Швейцарии, Казахстане и других странах, - такой статистикой делится эксперт по кибербезопасности "Лаборатории Касперского" Денис Паринов. - Атаки в отношении частных лиц, конечно, остаются более массовыми, но злоумышленников все в большей степени интересуют атаки на организации, в том числе с применением зловредов-стирателей, или вайперов. Часто цель хакеров - денежный выкуп. Очевидно, что он будет намного больше, если получить его от крупных коммерческих организаций или госструктур. Еще одна популярная цель - нарушение деятельности организации. Яркий пример - атака на Rutube. Также отметим недавнее выявление экспертами "Лаборатории Касперского" двух критических уязвимостей в продукте для видео-конференц-связи TrueConf Server, использовавшихся злоумышленниками".

Чаще всего в результате атак организации сталкиваются с утечкой конфиденциальной информации (45%) и нарушением основной деятельности (30%). В атаках на частные лица чаще всего скомпрометированы конфиденциальные данные (55%), также пользователи могли понести финансовые потери (25%). Также заметно увеличилась доля атак на веб-ресурсы, до 22% от общего количества по сравнению с 13% в IV квартале 2021 г.

"В России ландшафт угроз представлен широким спектром инцидентов: различное "массовое" ВПО, DDoS, фишинг и социальная инженерия, таргетированные атаки. По ряду векторов действительно наблюдается заметное увеличение числа атак. В I квартале 2022 г. количество DDoS-атак выросло в 4,5 раза относительно прошлогодних показателей за тот же период и в 1,5 раза относительно IV квартала 2021 г. По России эти цифры составили 4,43 и 1,45 раза соответственно. В этот же период продукты и технологии "Лаборатории Касперского" защитили от атак шифровальщиков 74 694 пользователя. В марте этого года наши защитные решения обнаружили рекордное количество вредоносного программного обеспечения в почтовом трафике пользователей - более 19 млн срабатываний", - так прокомментировал изменение ландшафта угроз в начале текущего года Денис Паринов.

Аналитики Positive Technologies отмечают снижение доли атак шифровальщиков по сравнению с IV кварталом 2021 г. с 53% до 44%. Это связывают с тем, что часть группировок вымогателей переходят на промышленный шпионаж и отказываются от уничтожения данных. Но при этом некоторые из шифровальщиков, напротив, переориентировались на уничтожение инфраструктуры. Также растет число атак вайперов, которые уничтожают данные.

Основным каналом распространения вредоносного ПО при атаках на компании стала электронная почта (52%) и компрометация оборудования (35%). Что касается атак на частных лиц, то большая часть зловредов проникала на компьютеры и прочие устройства жертв через веб-сайты (34%), электронную почту (20%), мессенджеры и СМС (17%), а также официальные магазины приложений (12%).

"В I квартале этого года мы наблюдали увеличение количества атак с использованием вайперов - вредоносного ПО для удаления данных: для организаций их доля составляет 3%, а для частных лиц - 2%, - говорит аналитик исследовательской группы Positive Technologies Екатерина Семыкина. - Среди таких очистителей данных, получивших распространение в I квартале, можно отметить WhisperGate, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper. Интересно, что в ряде случаев такое ВПО имитировало атаку программы-вымогателя: жертвам даже были отправлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные необратимо повреждены. Способы распространения вайперов разнообразны: например, HermeticWiper распространялся через сетевого червя, а DoubleZero содержался в архивах, распространяемых в целевых фишинговых атаках. В случае с CaddyWiper злоумышленники обычно уже имели доступ к скомпрометированным сетям организаций. Чтобы не стать жертвой вайперов, мы рекомендуем проверять все файлы в виртуальной среде - песочнице и изолировать критически важные для бизнеса сегменты сети".

В "Лаборатории Касперского" также назвали вайперы одной из наиболее серьезных угроз. "В I квартале 2022 г. мы обнаружили восемь новых семейств шифровальщиков и 3083 новых модификации зловредов этого типа. В феврале обнаружено новое вредоносное ПО, осуществляющее атаки с целью уничтожения файлов. Два зловреда - троянец HermeticWiper, уничтожающий данные, и шифровальщик HermeticRansom использовались в кибератаках на Украине. Также в феврале украинские системы подверглись атакам другого троянца под названием IsaacWiper, а в марте - третьего, CaddyWiper. Целью данных семейств вредоносного ПО было, судя по всему, выведение из строя зараженных компьютеров без возможности восстановления файлов. Отмечаем общую тенденцию на увеличение числа supply chain attacks через open source, рост числа DDoS-атак, утечек данных, фишинга", - информирует Денис Паринов.