Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

19 ноября 2019

Ренессанс шифровальщиков: Troldesh стал лидером по количеству атак

Больше половины (54%) всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на вирусы-шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh. Об этом в день открытия SOC-Forum 2019 сообщает Центр реагирования на инциденты кибербезопасности CERT Group-IB. Чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией, более 80% всех вредоносных файлов для маскировки доставлялись в архивах zip и rar.

Опасная почта

Исследование CERT-GIB основано на данных, полученных системой TDS Polygon, в рамках предотвращения и обнаружения угроз, распространяющихся в сети Интернет в первом полугодии 2019 года в 60 странах мира. Согласно выводам отчета, основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта.

Во второй половине 2018 года доля загрузок вредоносных программ с помощью веб-браузера сократилась до самого минимума и составляла не более 5%, а в первой половине 2019 года только каждая 19-я загрузка не была связана с почтовой рассылкой.

В первой половине 2019 года наблюдается десятикратный рост использования запароленных объектов — документов или архивов. В 2017 году на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 году их количество выросло до 3,6%. В первой половине 2019 года наблюдается аномальный рост до 27,8%.

Другой тенденцией стала маскировка вредоносного программного обеспечения (ВПО) в письме. Для того, чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых 6 месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном, для этого использовались форматы zip (32% и rar 25%) Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018-й на ссылки приходилось вдвое меньше ВПО.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

Современные киберпреступники обладают инструментами, позволяющими убедиться, что рассылаемый вредоносный экземпляр не детектируется популярными антивирусными средствами. Отметим, что схемы с вложенными или запароленными архивами, отложенной активацией и тд. оказываются оперативно обнаруженными только в случае использования продвинутых систем раннего предотвращения кибератак, а вместе со сложным поведенческим анализом позволяют успешно детектировать ранее неизвестные экземпляры ВПО. Получив информацию из нашего исследования, SOC (Security Operation Center) и CERT могут проверить, закрывают ли они перечисленные угрозы или нет: поскольку если они не проверили ссылку, которую получил пользователь, они могут пропустить угрозу, от которой в конечном итоге пострадают их клиенты.

Александр Калинин

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB)

Финансисты в группе риска

Для того чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова «Платеж», «Приглашение», «Скан», «Акт», то в этом году чаще всего используют «Документы», «Заказ», «Ордер» или «Пароль». В атаках на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и тд. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносный аттач. Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который в свою очередь, представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска — специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

 

Ренессанс шифровальщиков

Если в 2018 году угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 года существенно ухудшилась ситуация с шифровальщиками: они вновь уверенно вернулись на первое место (54%).

В топ-3 самых массовых атак вошли следующие вредоносные программы: Troldesh (53%), RTM (17%), Pony (6%).

Troldesh — самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

На втором месте — банковский троян RTM, написанный одноимённой хакерской группировкой. Появившись в 2016 году RTM привлек особое внимание тем, что получение списка управляющих серверов происходило при обращении к странице профиля на площадке Livejournal. После анализа было установлено, что RTM нацелен на хищение денежных средств через ДБО российских банков. Используя различные схемы распространения, RTM на какое-то время пропал из виду и в середине 2018 года снова заявил о себе, распространяясь через сеть поддельных бухгалтерских сайтов. Далее на протяжении всего отчетного периода использовался в различных атаках на финансовые учреждения и предприятия. С начала 2019 года количество вредоносных рассылок с RTM держится на стабильно высоком уровне.

Закрывает тройку вредоносная программа Pony Formgrabber, задача которой — хищения пользовательских паролей из более чем 100 приложений, в числе которых E-mail клиенты, мессенджеры, веб-браузеры, FTP и VPN клиенты. Некоторые версии предоставляют возможности для скрытой загрузки и установки дополнительных вредоносных программ на инфицированном компьютере.

Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Intelligence и других.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах .RU, .РФ и ещё более чем в 2500 доменных зонах.В октябре 2019 года был поставлен рекорд быстродействия регистраторов по блокировке вредоносных ресурсов — максимум 5 часов. Это самый низкий показатель за всю историю блокировки в доменной зоне РУ.

Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 16-летний опыт расследования киберпреступлений по всему миру и более 55 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте