Google опубликовала итоги анализа 80 млн образцов ransomware

Фирма кибербезопасности VirusTotal по поручению Google проанализировала 80 миллионов образцов программ-вымогателей из более чем 140 стран, полученных ею с 2020 года.

В предоставленном отчете десятью наиболее пострадавшими государствами по количеству образцов, рассмотренных VirusTotal, в порядке убывания названы Израиль, Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания. При этом, Израиль лидирует почти с 5-кратным отрывом от следующей за ним Южной Кореи.

Главный пик активности ransomware, наблюдавшийся в первые два квартала 2020 г., VirusTotal связывает с деятельностью группы GandCrab, предлагающей программы-вымогатели как услугу. Второй по величине пик приходится на июль 2021 г., его виновником является преступная группировка Babuk, впервые заявившая о себе в начале 2021 г.

Среди самых активных банд вымогателей с начала 2020 года GandCrab лидирует с 78,5 процентами образцов. На Babuk и Cerber приходятся доли 7,6% и 3,1% соответственно.

Масштабы действий GandCrab и Babuk, делают остальные семейства ransomware почти невидимыми на диаграмме. Тем не менее, VirusTotal подчеркивает, что эта фоновая активность более, чем 100 других семейств программ-вымогателей никогда не останавливалась и не должна игнорироваться.

Согласно отчету, 95% обнаруженных файлов-ransomware были исполняемыми файлами или динамическими библиотеками (DLL) Windows, и лишь 2% - ориентированы на Android.

Также обнаружено, что с эксплойтами (чаще всего, повышения привилегий и удаленного выполнения) непосредственно связано очень мало образцов - около 5%. Это легко объяснимо, если вспомнить, что ransomware, как правило, распространяется с помощью методов социальной инженерии и/или дропперов (небольших программ, предназначенных для установки вредоносного ПО).

Только две из 10 наиболее часто эксплуатируемых уязвимостей были обнародованы в 2020 году и ни одной - в 2021 году.

Почти все из 10 главных семейств программ-вымогателей использовали для распространения одну из пяти разновидностей вредоносных программ: Emotet, Zbot, Dridex, Gozi, Danabot.

Для других этапов, таких как латеральное продвижение в корпоративных сетях, VirusTotal выявила применение Mimikatz и Cobaltstrike, нескольких языков сценариев, таких как AutoIT и Powershell и десятков троянских программ удаленного доступа (RAT), включая Phorpiex, Smokeloader, Nanocore и Ponystealer.

Android