18 сентября 2020

Депрессия шифровальщиков: топ угроз вредоносных рассылок первого полугодия 2020

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует изменение ландшафта угроз по итогам первого полугодия 2020г. Ожидаемо фишинг под различные онлайн-сервисы вырос более чем вдвое во время пандемии коронавируса: на него пришлось 46% от общего числа фейковых веб-страниц. Со сцены фактически ушли лидеры прошлого полугодия — вирусы-шифровальщики, веерно распространяемые в почтовых рассылках, на них пришелся всего 1%. Зато каждое третье вредоносное письмо содержало программу-шпиона, цель установки которого — кража логинов, паролей, платежных данных или иной чувствительной информации с целью продажи в даркнете или шантажа.

В топ угроз также вошли загрузчики, предназначенные для установки другого вредоносного ПО, и бэкдоры, посредством которых киберпреступники получают удаленный доступ к компьютерам жертв, замыкающие тройку лидеров. Следом за ними — банковские трояны, чья доля в общем числе вредоносных вложений впервые за долгое время показала рост.

Шпион, выйди вон

По данным Центра реагирования на инциденты кибербезопасности CERT-GIB, в первой половине 2020 вложения с программами-шпионами или ссылки, ведущие на их скачивание, содержались в 43% проанализированных Group-IB вредоносных писем. Еще 17% содержали загрузчики, третье место разделили бэкдоры и банковские трояны — они скрывались в 16% и 15% вредоносных рассылок, соответственно. Шифровальщики, которые в прошлом полугодии детектировались в каждой второй вредоносной рассылке, в первой половине этого года практически исчезли — на них приходится менее 1%.

Эта статистика подтверждает тренд, сформулированный в недавнем исследовании Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков»: операторы сместили фокус атак с индивидуальных пользователей на крупные корпоративные сети. Так, вместо того, чтобы шифровать компьютер отдельной жертвы после компрометации, атакующие используют зараженную машину для дальнейшего продвижения по сети, повышения привилегий в системе и распространения шифровальщика по максимально возможному числу хостов.

В Топ-10 инструментов, использовавшихся злоумышленниками в атаках, зафиксированных CERT-GIB за этот период, вошли троян RTM (30%); шпионское ПО LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%), и Azorult (1%); и бэкдоры Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%), и Netwire (1%). Среди новых инструментов, выявленных в первом полугодии, Quasar — ПО для удаленного управления на базе открытого исходного кода, Gomorrah — программа-шпион, извлекающая данные учетных записей пользователей из различных программ, и 404 Keylogger — ПО для сбора пользовательских данных, получившее широкое распространение в первом квартале 2020 года.

Почти 70% вредоносных файлов попадали на компьютер жертвы с помощью архивов, порядка 18% были замаскированы под офисные документы (с расширениями .doc, .xls и .pdf), еще 14% — под исполняемые файлы и скрипты.

Секьюрный фишинг

В первой половине 2020, CERT-GIB заблокировал 9 304 фишинговых ресурса, что на 9% выше, чем полугодием ранее. Главным трендом этого периода стало более чем двукратное увеличение числа ресурсов, использующих безопасное SSL/TLS соединение — их количество за полгода возросло с 33% до 69%. Это объясняется желанием злоумышленников удержать пул жертв — большинство популярных браузеров отмечают сайты без SSL/TLS соединения как по умолчанию небезопасные, что негативно сказывается на эффективности фишинговых кампаний. По прогнозам экспертов Group-IB, доля веб-фишинга с небезопасным соединением продолжит сокращаться, а сайты, не поддерживающие протоколы SSL/TLS, станут исключением.

Жизнь в онлайне

Как и во второй половине 2019 года, в текущем периоде лидером по количеству фишинговых страниц стали онлайн-сервисы. На фоне пандемии и перехода бизнеса в онлайн, их доля возросла до рекордных 46%. Привлекательность онлайн-сервисов обусловлена тем, что, похищая данные учетной записи пользователя, злоумышленники также могут получить доступ к данным банковской карты, привязанной к аккаунту. Чаще всего злоумышленники создают поддельные страницы, требующие обновления данных банковской карты для продолжения пользования сервисом, но в некоторых случаях, похищая данные учетной записи, они получают доступ и к данным самой карты.

Следом за онлайн-сервисами — почтовые агенты (24%), чья доля после спада в 2019 возобновила рост в 2020 году, и финансовые организации (11%). В топ целевых категорий по веб-фишингу также вошли платежные сервисы, облачные хранилища, социальные сети, и сайты знакомств.

Согласно результатам работ по обнаружению и нейтрализации угроз CERT-GIB, лидерство в топе доменных зон по регистрации фишинга уверенно держит зона .com, согласно на нее приходится почти половина проанализированных за отчетный период фишинговых ресурсов — 44%. За ней следуют доменные зоны .ru (9%), .br (6%), .net (3%) и .org (2%).

Год начался с изменений в топе актуальных угроз, распространяющихся с помощью вредоносных рассылок. Операторы шифровальщиков сфокусировались на целевых атаках, выбирая себе крупные жертвы, и требуя от них значительно большие суммы. Точечная проработка таких атак снизила их объем в антирейтинге угроз, а на их место пришли программы-шпионы и бэкдоры, с помощью которых злоумышленники сначала похищают чувствительную информацию, а затем шантажируют жертву, требуя выкуп, и, в случае отказа, продают ее на хакерских форумах или выставляют в паблик. Вероятнее всего, стремление операторов шифровальщиков сорвать большой куш постепенно приведет к росту таргетированных атак, при этом почта по-прежнему будет главным источником их распространения, что повышает требования к обеспечению ее кибербезопасности.

Ярослав Каргалев

Ярослав Каргалев

Заместитель руководителя CERT Group-IB

Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — один из первых частных CERT в Восточной Европе, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Hunting Intelligence и других.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. В октябре 2019 года был поставлен рекорд быстродействия регистраторов по блокировке вредоносных ресурсов — максимум 5 часов. Это самый минимальный показатель за всю историю блокировки в доменной зоне РУ.

Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer, членом Организации исламского сотрудничества (OIC-CERT) и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте