По итогам прошедшего 2019 г. количество атак, которое совершили программы-криптолокеры, увеличилось на 40%, средний размер требуемого им выкупа вырос более, чем на порядок. В 2020 г. хакеры, как ожидается, могут установить «антирекорд» как по количеству атак, так и по размеру нанесенного ими ущерба. Таковы данные исследования «Программы-вымогатели: новейшие методы атак шифровальщиков», подготовленного специалистами Group-IB.

Как сообщают эксперты лаборатории компьютерной криминалистики Group-IB, 2018 г. в плане атак вредоносного ПО, шифрующего файлы пользователей на компьютере и требующего за расшифровку денег (в свете последних событий – как правило, в биткоинах) выдался сравнительно тихим. Но в 2019 г. хакеры решили наверстать упущенное – количество инициированным ими атак с использованием вирусов-вымогателей выросло на 40%. В качестве своих жертв злоумышленники выбирали обширные компьютерные сети, находящиеся во владении или распоряжении крупных корпораций, муниципалитетов и медицинских учреждений.

Средний размер выкупа, который вирусы требовали за разблокирование доступа к файлам и их расшифровку, вырос очень существенно. Если в 2018 г. его размер составлял сумму в $8 тыс., то в 2019 г. она выросла более, чем в 10 раз, и достигла показателя в $84 тыс. Эксперты Group-IB также назвали вирусы–шифровальщики, показавшие себя по итогам прошлого года самыми агрессивными и требовавшие самые большие суммы выкупа, размер которых достигал, порой, $800 тыс. В ТОП лидеров этого «антирейтинга» вошли вредоносы семейств Ryuk, DoppelPaymer и REvil.

Новости из жизни шифровальщиков

В течение 2019 г. злоумышленники вышли на новый уровень, перестав ограничиваться в своей работе лишь шифрованием файлов: они стали продвигать программы-вымогатели как услугу RaaS (Ransomware-as-a-Service) и сдавать программы-вирусы «в аренду» за часть полученного с их помощью выкупа.

Именно в прошлом году операторы ряда вирусов-вымогателей приступили к использованию ряда тактик, техник и процедур (TTPs), которые характерны для целевых кибератак (advanced persistent threat, APT-групп). В их числе, например – выгрузка данных перед их шифрованием, которые, как предполагаются, важны для потенциальной жертвы. Так действовали, к примеру, операторы вирусов из семейств REvil, Maze и DoppelPaymer. Но если организаторы таргетированных кибератак применяют такую тактику для шпионажа, то организаторы атак с использованием «шифровальщиков» добиваются таким образом увеличения вероятности получения выкупа. Если же жертва не соглашается с требованиями последних и не платит денег, то полученная при атаке критичная информация выставляется на продажу в даркнете.

Еще одно новшество прошлого года - частое использование в кампаниях шифровальщиков большого числа банковских троянских программ, таких, например, как Dridex, Emotet, SDBBot и Trickbot, на этапе первичной компрометации сети.

Фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by возглавили список векторов первичной компрометации сети, с которых начинались атаки.

В фишинговых письмах, возглавивших этот рейтинг, чаще всего были скрыты вирусы-шифровальщики Shade и Ryuk. Кампании хакерской группы TA505, в ходе которых распространялась программа-вымогатель Clop, часто начинались с фишингового письма. Зараженное вложение, содержащееся в письме, загружало, в том числе, один из троянов - FlawedAmmyy RAT или SDBBot.

Большинство доступных серверов с открытым портом 3389, число которых в 2019 г. превысило 3 млн, были расположены в Бразилии, Германии, Китае, России и США. Этим направлением компрометации наиболее часто пользовались операторы вирусов Dharma и Scarab.

Довольно часто для доставки вымогателей злоумышленники использовали зараженные web-сайты. Пользователь, попадающий на такой сайт, перенаправлялся на страницы, которые пытались скомпрометировать его гаджет, для чего чаще всего использовались наборы эксплоитов RIG EK, Fallout EK и Spelevo EK. Так, операторы вредоносов Shade (Troldesh) и STOP шифровали данные на первоначально скомпрометированных устройствах, а операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma собирали информацию целых сетевых инфраструктурах.

Помимо этого, большинство операторов таких программ-шантажистов, как Ryuk, Revil, Maze и DoppelPaymer, стали активно оперировать инструментами, которые дали возможность не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и полный контроль над доменами Windows. Именно эти инструменты специалисты в сфере кибербезопасности применяют в ходе тестов  - Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic.

Кто спасет от вымогателя?

В целом, подводят итоги исследования «Программы-вымогатели: новейшие методы атак шифровальщиков» его авторы, в 2019 г. операторы вредоносов-шифровальщиков значительно упрочили свои позиции, выбирали для атак более крупные цели преимущественно из корпоративного сектора и увеличили свои доходы. Используемые ими тактики и инструменты эволюционировали в течение прошедшего года до сложных техник, которые раньше отличали хакерские целевые кибератаки. Учитывая эти обстоятельства, прогнозируют эксперты, наступивший 2020 г. может установить своего рода рекорд по числу проведенных атак и размеру причиненных ими убытков.

Несмотря на возросший масштаб кампаний шифровальщиков, им по-прежнему можно эффективно противостоять, если следовать необходимым мерам предосторожности, уверен Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. К примеру, подключаться к серверам по RDP необходимо исключительно с использованием VPN, для учетных записей, использующихся для доступа по RDP, пароли должны быть сложными, и их необходимо регулярно изменять. Список IP-адресов, с которых могут быть инициированы внешние RDP-соединения, следует ограничить.