Отчет: программы-вымогатели составляют 69% всех атак, связанных с вредоносным ПО
Компания по кибербезопасности Positive Technologies опубликовала новый отчет, в котором указывается, что атаки программ-вымогателей достигли "стратосферного уровня".
Исследователи кибербезопасности во втором квартале 2021 года также отмечают эволюцию стратегий атак и рост числа вредоносных программ, созданных для систем на базе Unix. Существует много разных версий Unix, и у них есть общие черты. Самые популярные разновидности - Sun Solaris, GNU/Linux и Mac OS X.
В отчете говорится, что программы-вымогатели составляют 69% всех атак, связанных с вредоносным ПО. Это одно из самых тревожных открытий. Исследование также показывает, что количество атак на государственные учреждения резко возросло в 2021 году с 12 процентов в первом квартале до 20 процентов во втором.
Центр безопасности Positive Technologies, специализирующийся на анализе угроз, в течение квартала обнаружил появление B-JDUN, нового троянца удаленного доступа или RAT, используемого в атаках на энергетические компании. Исследователи также обнаружили Tomiris, новую вредоносную программу, которая имеет функции для обеспечения устойчивости и может отправлять зашифрованную информацию о рабочей станции на сервер, контролируемый злоумышленником.
Исследование показало, что общее количество атак по сравнению с предыдущим кварталом выросло лишь на 0,3%. Это замедление было ожидаемым, поскольку компании приняли более активные меры для защиты периметра сети и систем удаленного доступа во время глобальной пандемии и роста рассредоточенной рабочей силы. Однако, как предупреждают исследователи, рост числа атак с использованием программ-вымогателей - увеличился на 45% только за апрель, что вызывает серьезную обеспокоенность.
Исследователи также отмечают рост числа вредоносных программ, специально разработанных для проникновения в системы Unix.
"Мы привыкли к мысли, что злоумышленники, распространяющие вредоносное ПО, представляют опасность для систем на базе Windows", - сказала Яна Юракова, аналитик по информационной безопасности компании Positive Technologies.
"Сейчас мы наблюдаем более сильную тенденцию использования вредоносных программ для атак на системы Unix, инструменты виртуализации и оркестраторы. Все больше и больше компаний, включая более крупные корпорации, теперь используют программное обеспечение на основе Unix, и именно поэтому злоумышленники обращают свое внимание на эти системы". Тактика против розничных торговцев Картина угроз кибербезопасности для розничной торговли изменилась.
Исследователи наблюдали уменьшение количества атак MageCart, при которых данные транзакций были похищены во время оформления заказа в интернет-магазине. Однако этому способствовал рост доли атак программ-вымогателей.
Отчет показывает, что 69% всех атак вредоносного ПО, нацеленных на организации, были связаны с распространителями программ-вымогателей. Это на 30 процентов больше, чем за тот же квартал 2020 года.
Атаки программ-вымогателей на розничных продавцов составили 95% всех атак с использованием вредоносных программ. Вероятно, это связано с тем, что предыдущие атаки в этой отрасли в основном были нацелены на данные, такие как платежные реквизиты, личная информация и учетные данные пользователей.
Теперь злоумышленники напрямую преследуют финансовые цели, требуя выкуп. Объем атак социальной инженерии, направленных на розничную торговлю, в этом году также увеличился с 36 процентов в первом квартале до 53 процентов во втором.
Другие выводы
Positive Technologies также обнаружила запрет на форумах Dark Web на публикацию сообщений о партнерских программах операторов программ-вымогателей. Это указывает на то, что вскоре эти "партнеры" могут больше не иметь особой роли, говорят исследователи. Вместо этого операторы программ-вымогателей сами могли бы взять на себя задачу по сбору и контролю над группами дистрибьюторов. В семи из 10 атак вредоносного ПО во втором квартале этого года участвовали распространители программ-вымогателей, что на 30% больше, чем во втором квартале 2020 года, составляющем всего 39 процентов. Наиболее частыми мишенями были государственные, медицинские, промышленные компании, научные и образовательные учреждения. Электронная почта остается основным методом распространения вредоносного ПО при атаках на организации (58%).
По данным исследователей Positive Technologies, процент использования веб-сайтов для распространения вредоносного ПО в организациях увеличился с двух до восьми процентов. Например, этот метод использовался распространителями шпионского ПО для программистов, работающих с Node.js. Вредоносная программа имитировала компонент Browserify в реестре npm.
Атаки вредоносного ПО на физических лиц
Злоумышленники использовали вредоносное ПО в 60% атак на физических лиц. Чаще всего злоумышленники распространяли банковские трояны (30 процентов атак с участием других вредоносных программ), RAT (29 процентов) и шпионское ПО (27 процентов). Согласно отчету, атаки программ-вымогателей составляют лишь девять процентов атак с участием других вредоносных программ.
Например, популярным инструментом атаки на отдельных лиц является распространение NitroRansomware. Злоумышленники распространяют это вредоносное ПО под видом инструмента для создания бесплатных подарочных кодов для Nitro, надстройки Discord. После запуска вредоносная программа собирает данные из браузера, а затем шифрует файлы в системе жертвы. Чтобы получить дешифратор, жертве необходимо приобрести подарочный код для активации Nitro и передать его злоумышленникам.
Исследователи также заметили большое количество атак на сетевые диски QNAP. Сетевое хранилище (NAS) QNAP, работающее в Linux, представляет собой системы, состоящие из одного или нескольких жестких дисков, постоянно подключенных к Интернету. QNAP становится резервным "центром" или блоком хранения важных файлов и мультимедиа, таких как фотографии, видео и музыка.
Виртуальные системы тоже под угрозой
Ранее в этом году компания Positive Technologies предупредила, что многие злоумышленники нацелены на виртуальную инфраструктуру.
Во втором квартале компания сообщила, что к таким атакам присоединились операторы программ-вымогателей. Исследователи заявили, что REvil, RansomExx (Defray), Mespinoza, GoGoogle, DarkSide, Hellokitty и Babuk Locker готовы к использованию в атаках на виртуальную инфраструктуру на базе VMware ESXi.
В отчете отмечается, что это может стать растущей проблемой для пользователей Linux в бизнес-среде.
Компания Trend Micro проанализировала новую программу-вымогатель DarkRadiation, находящуюся в разработке, и обнаружила, что она адаптирована для атак на Red Hat, CentOS и Debian Linux. Сама вредоносная программа представляет собой сценарий bash, который может останавливать или отключать все запущенные контейнеры Docker.
Злоумышленники используют взломанные учетные записи и протокол SSH как способ распространения этого вымогателя.
По словам Дирка Шрейдера, вице-президента по исследованиям в области безопасности компании New Net Technologies, которая сейчас входит в Netwrix, мотивация атаковать виртуальные системы заключается не в том, чтобы сосредоточиться на Linux как таковом. Он добавил, что именно из-за этого серверы ESXi являются такой ценной целью и что разработчики вредоносных программ приложили дополнительные усилия, чтобы добавить Linux в качестве источника многих платформ виртуализации к своей функциональности.
VMware ESXi - это гипервизор без операционной системы, который легко устанавливается на серверы и разделяет его на несколько виртуальных машин. "Это создает побочный эффект, позволяющий атаковать любую машину Linux. Теоретически на одном сервере EXSi 7 можно разместить до 1024 виртуальных машин. Но для злоумышленника именно сочетание нескольких виртуальных машин и их важности делает каждый сервер ESXi достойной целью. Атака и шифрование устройства, на котором работает около 30 критически важных служб для организации, обещают принести результаты с уплатой выкупа", - сказал эксперт.
Отражение атак
29 июля компания Vulcan Cyber опубликовала свое исследование инициатив по устранению кибер-рисков на предприятиях. Компания Vulcan опросила 200 лидеров по кибербезопасности об их режимах кибергигиены. Результаты показали, что семь процентов компаний были затронуты уязвимостью ИТ-безопасности за последний год. Примечательно, что только 33% респондентов заявили, что их компания считает управление уязвимостями на основе рисков "очень важным". По словам Янива Бар-Даяна, генерального директора и соучредителя Vulcan Cyber, существует явный и увеличивающийся разрыв между программами управления уязвимостями предприятия и способностью групп ИТ-безопасности фактически снижать риски, с которыми сталкиваются их организации.
"По мере того, как уязвимости безопасности распространяются на цифровых носителях, становится все более важным, чтобы все заинтересованные стороны корпоративной ИТ-безопасности вносили существенные изменения в свои разработки в сфере кибербезопасности. Это должно включать в себя приоритезацию усилий по обеспечению кибербезопасности на основе рисков, расширение сотрудничества между отделами безопасности и ИТ, обновление инструментов управления уязвимостями и улучшение корпоративной аналитики рисков, особенно в компаниях с передовыми программами облачных приложений", - сказал эксперт.