Loader

Ransomware — угроза в 2021 году

Новое исследование Symantec показывает, что организации сталкиваются с беспрецедентным уровнем опасности целевых атак программ-вымогателей, поскольку число злоумышленников увеличивается, а тактика становится все более изощренной.

В течение последних нескольких лет целевые программы-вымогатели являются одним из основных киберрисков для компаний и других крупных организаций. Однако, как отмечается в новом документе, подготовленном командой Symantec Threat Hunter, входящей в состав Broadcom Software, за последние двенадцать месяцев злоумышленники стали более агрессивными, нашли больше способов увеличить охват своих атак и стали более амбициозными, организовав ряд дерзких и крайне разрушительных атак. 

Нападение на компанию Colonial Pipeline в США в мае 2021 года вызвало значительные перебои в работе и вызвало опасения по поводу поставок топлива в страну. В том же месяце атака на национальную службу здравоохранения Ирландии (Health Service Executive) заставила отменить тысячи приемов и начать операцию по восстановлению, которая завершается только сейчас. 

Рисунок 1. Количество организаций, пострадавших от целевых атак программ-вымогателей, с января 2020 г. по июнь 2021 г.

Хотя общий уровень активности программ-вымогателей снизился, это объясняется уменьшением числа массовых и беспорядочных атак. Большую озабоченность вызывает тот факт, что число организаций, подтвержденных как пострадавшие от целевых атак программ-вымогателей, увеличилось на 83% за последние 18 месяцев — с 81 в январе 2020 года до 148 в июне 2021 года. 

Реальное количество целевых атак программ-вымогателей гораздо выше. Подтвержденные атаки известных семейств целевых программ-вымогателей, вероятно, являются лишь репрезентативной выборкой из общего числа атак с использованием этих угроз. Многие целевые атаки программ-вымогателей прекращаются до развертывания полезной нагрузки, поэтому они могут быть не идентифицированы как программы-вымогатели. Кроме того, большинство операторов целевых программ-вымогателей перекомпилируют свои программы-вымогатели для каждой новой атаки. Это означает, что вариант программы-вымогателя, используемый в атаке, может быть заблокирован общими средствами обнаружения или средствами машинного обучения, а не средствами обнаружения, связанными с данным семейством программ-вымогателей. 

Наряду с повышением уровня активности ландшафт угроз вымогателей стал более сложным и изощренным, а ряд новых разработок усугубили угрозу для организаций. 

Рост популярности программ-вымогателей как услуги 

Хотя концепция ransomware-as-a-service (RaaS) не нова, рынок RaaS значительно эволюционировал за последний год. В настоящее время базовая схема включает в себя предоставление авторами выкупных программ доступа к самим выкупным программам, хостинга для взломанных данных и ведение переговоров о выкупе. В некоторых случаях, как сообщается, разработчики выкупных программ предоставляют своим аффилированным лицам целую программу действий. 

Однако некоторые аффилированные лица, занимающиеся рассылкой вымогательского ПО, теперь, похоже, все меньше зависят от авторов вымогательского ПО. Хотя давно известно, что филиалы переходят к другим разработчикам вымогательского ПО, если разработчик, с которым они работали, прекращает свою деятельность, многие из них теперь используют собственные инструменты, тактики и процедуры (TTP) независимо от полезной нагрузки, которую они развертывают. Некоторые филиалы теперь, похоже, одновременно сотрудничают с несколькими авторами вымогательских программ. Команда Symantec Threat Hunter Team наблюдала, как филиалы используют два разных типа программ-вымогателей за очень короткий промежуток времени, а в некоторых случаях — во время одной атаки. 

Сотрудничество с ботнетами 

За последние 12 месяцев вторичные заражения, обычно через ботнеты, стали одним из самых распространенных способов доступа для групп ransomware. Троянские программы, которые раньше использовались для финансовых махинаций, такие как Trickbot, в последнее время стали использоваться в основном как каналы распространения других вредоносных программ, в первую очередь программ-вымогателей. 

В некоторых случаях злоумышленники уже контролируют бот-сети, например, группа Miner (она же Wizard Spider), которой принадлежит бот- сеть Trickbot. Trickbot рассматривался как предшественник атак Ryuk, которые также приписываются Miner. Аналогичным образом, Hispid (она же Evil Corp) использовала свой ботнет Dridex, который изначально был создан для проведения финансовых атак, для доставки программ-вымогателей в организации. 

С тех пор другие субъекты пытались повторить эту схему атаки, сотрудничая с известными операторами ботнетов. Наиболее заметным из них является использование IcedID, по крайней мере, одним из аффилированных операторов программы-вымогателя Conti. 

Беспрецедентная угроза 

Большое количество групп, осуществляющих целевые атаки на программы-выкупы, в сочетании с развитием рынка RaaS означает, что целевые программы- вымогатели представляют серьезную угрозу для организаций. Несмотря на то, что в последние месяцы банды, занимающиеся распространением вымогательского ПО, привлекли значительное внимание государственных и правоохранительных органов, многомиллионные выплаты выкупа означают, что большинство злоумышленников не остановятся. 

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Symantec и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украинаinfo.ua@oberig-it.com, +38 093 801 04 41.

Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.

Молдова info.md@oberig-it.com, +373 686 76535.

 

Источник: https://bit.ly/3bpnBoS