Спецпроекты

Group-IB назвала самые «жадные» программы-вымогатели 2019 года

Безопасность Стратегия безопасности

Количество атак вирусов-шифровальщиков в 2019 г. по сравнению с предыдущим годом возросло на 40%, в то время как размер среднего требуемого выкупа взлетел в разы, говорится в опубликованном исследовании Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков». По данным Лаборатории компьютерной криминалистики Group-IB, самыми «жадными» шифровальщиками стали семейства Ryuk, DoppelPaymer и REvil. Поскольку тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы, а их цели сместились в корпоративный сектор, 2020 г. может установить антирекорд по количеству атак и размеру ущерба.

После сравнительного затишья в 2018 г., в 2019 г. вирусы-шифровальщики попытались взять реванш: количество атак с использованием вымогателей возросло на 40%. Жертвами оказывались крупные цели — муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа резко взлетел с $8 тыс. в 2018 г. до $84 тыс. в прошлом году. По данным Group-IB, cамыми агрессивными и «жадными» шифровальщиками в прошлом году были семейства Ryuk, DoppelPaymer и REvil — их единовременные требования о выкупе достигали $800 тыс.

В 2019 г. операторы шифровальщиков стали использовать некоторые тактики, техники и процедуры (TTPs), характерные для APT-групп. Одним из заимствованных приемов, стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете. Таким методом пользовались операторы семейств REvil, Maze и DoppelPaymer.

Частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети: в 2019 г. экспертами Group-IB было зафиксировано использование большого числа троянов в кампаниях шифровальщиков, в том числе троянов Dridex, Emotet, SDBBot и Trickbot.

В 2019 г. большинство операторов шифровальщиков стали использовать инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.

В целом, как отмечают эксперты, в прошлом году операторы вымогателей вышли на новый уровень — их действия больше не ограничивались лишь шифрованием файлов. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа.

В 2019 г. в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

Фишинговые письма остались одним из наиболее распространенных векторов первичной компрометации, чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое, среди прочего, загружало один из троянов (FlawedAmmyy RAT или SDBBot).

В прошлом году количество доступных серверов с открытым портом 3389 превысило 3 млн, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти новых уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.

В 2019 г. атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплойтов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.

Некоторые злоумышленники, в том числе операторы шифровальщиков Shade (Troldesh) и STOP, сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие, в том числе операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma, не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.

Полный список тактик, техник и процедур, упомянутых в отчете приведен в таблице ниже, которая построена на основе матрицы MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Они расположены в порядке от самых популярных (выделены красным) до наименее популярных (выделены зеленым).

«В 2019 г. операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели и увеличивая свои доходы, и есть все основания полагать, что в этом году их результаты будут еще более впечатляющими, — отметил Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — Операторы вымогателей продолжат расширять пул своих жертв, фокусируясь на крупных индустриях, у которых больше ресурсов, чтобы удовлетворить их аппетиты. Возросшая активность шифровальщиков ставит бизнес перед выбором: либо инвестировать средства в свою кибербезопасность, чтобы сделать свою инфраструктуру недосягаемой для злоумышленников, либо рискнуть столкнуться с требованием выкупа для дешифровки файлов и поплатиться за изъяны в кибербезопасности».

Несмотря на возросший масштаб кампаний шифровальщиков, им можно противостоять, реализуя необходимые меры предосторожности. Они в числе прочего включают подключение к серверам по RDP только с использованием VPN, создание сложных паролей для учетных записей, использующихся для доступа по RDP, и их регулярную смену, ограничение списка IP-адресов, с которых могут быть инициированы внешние RDP-соединения и др.