Trend Micro проаналізувала атаки із застосуванням вірусів-здирників за перші місяці 2019 року

Фахівці Trend Micro проаналізували атаки із застосуванням вірусів-здирників за перші місяці 2019 року, і в цій статті ми розповімо про головні тренди, які очікують світ у другій його половині. із самої його назві: погрожуючи знищити (або, навпаки, опублікувати) конфіденційну або цінну для користувача інформацію, хакери з його допомогою вимагають викупу за повернення доступу до неї. Для простих користувачів така атака є неприємною, але не критичною: загроза втрати музичної колекції або фотографій з відпусток за останні десять років не гарантує виплати викупу.
Зовсім по-іншому виглядає ситуація для організацій. Кожна хвилина простою бізнесу коштує грошей, тому втрата доступу до системи, додатків або даних для сучасної компанії дорівнює збиткам. Саме тому фокус атак вірусів-здирників останніми роками поступово зміщується від артобстрілу вірусами до зниження активності та переходу до цільових рейдів на організації у сферах діяльності, в яких шанс отримання викупу та його розміри максимально великі. У свою чергу організації прагнуть захиститися від загроз за двома основними напрямками: розробляючи способи ефективно відновлювати інфраструктуру та бази даних після атак, а також вживаючи більш сучасні системи кіберзахисту, які виявляють і своєчасно знищують шкідливе ПЗ.
Щоб залишатися в курсі подій та виробляти нові рішення та технології для боротьби зі шкідливим ПЗ, Trend Micro постійно аналізує результати, отримані від своїх систем кібербезпеки.

Цього року кіберзлочинці явно стали ставитись до вибору жертв набагато більше ретельно: їхньою метою стають організації, які захищені гірше і при цьому готові сплатити велику суму за швидке відновлення нормальної діяльності. Саме тому з початку року зафіксовано вже кілька атак на урядові структури та адміністрацію великих міст, включаючи Лейк-Сіті (викуп – 530 тис. доларів США) та Рів'єра-Біч (викуп – 600 тис. доларів США) в штаті Флорида, США.
У розбивці по галузях основні вектори атак виглядають так:
— 27% — урядові структури;
— 20% — виробництво;
— 14% — охорона здоров'я;
— 6% — роздрібна торгівля;
— 5% — освіта.
Часто кіберзлочинці використовують метод OSINT (пошук та збирання інформації із загальнодоступних джерел), щоб підготуватися до атаки та оцінити її прибутковість. Збираючи інформацію, вони краще розуміють бізнес-модель організації та репутаційні ризики, які вона може зазнати через атаку. Також хакери шукають найважливіші системи та підсистеми, які можна повністю ізолювати чи відключити за допомогою вірусів-вимагачів, – це підвищує шанс на отримання викупу. Не в останню чергу оцінюється стан систем кібербезпеки: немає сенсу розпочинати атаку на компанію, ІТ-фахівці якої здатні з високою ймовірністю її відбити.
У другій половині 2019 року цей тренд буде так само актуальним. Хакери будуть знаходити нові сфери діяльності, в яких порушення бізнес-процесів призводить до максимальних збитків (наприклад, транспорт, важливі об'єкти інфраструктури, енергетика).

Методи проникнення та зараження
У цій сфері також постійно відбуваються зміни. Найпопулярнішими інструментами залишаються фішинг, шкідливі оголошення на сайтах та заражені інтернет-сторінки, а також експлойти. При цьому головним «співучасником» атак так само виступає користувач-співробітник, який відкриває ці сайти та завантажує файли за посиланнями або з електронної пошти, що і провокує подальше зараження всієї мережі організації.
Однак у другій половині 2019 року до цих інструментів додадуться:
— більш активне застосування атак з використанням соціальної інженерії (атака, при яких жертва добровільно здійснює потрібні хакеру дії або видає інформацію, вважаючи, наприклад, що спілкується з представником керівництва або клієнта організації), які спрощує збір інформації про співробітників із загальнодоступних джерел;
— використання викрадених облікових даних, наприклад, логінів та паролів від систем віддаленого адміністрування, які можна придбати в даркнеті;
— фізичний злом та проникнення, які дозволять хакерам на місці виявити критично важливі системи та знешкодити систему безпеки.

Методи приховування атак 
Завдяки розвитку систем кібербезпеки, внесок у яку вносить і Trend Micro, виявлення класичних сімейств вірусів-вимагачів останнім часом значно спростилося. Технології машинного навчання та поведінкового аналізу допомагають виявляти шкідливе ПЗ ще до його проникнення в систему, тому хакерам доводиться вигадувати альтернативні способи приховування атак.
Вже відомі фахівцям у сфері ІТ-безпеки та нові технології кіберзлочинців націлені на знешкодження «пісочниць» для аналізу підозрілих файлів та систем машинного навчання, розробку безфайлового шкідливого ПЗ та використання зараженого ліцензійного програмного забезпечення, включаючи ПЗ від вендорів у сфері кібербезпеки та різні віддалені служби з доступом до мережі організації.

Висновки та рекомендації
Загалом можна сказати, що в другій половині 2019 року висока ймовірність цільових атак на великі організації, які здатні виплатити кіберзлочинцям великий викуп. При цьому хакери не завжди розробляють рішення для злому та шкідливе ПЗ самостійно. Частина з них, наприклад, сумнозвісна команда GandCrab, яка вже припинила свою діяльність, заробивши близько 150 млн доларів США, продовжують працювати за схемою RaaS (ransomware-as-a-service, або «віруси-здирники як сервіс», за аналогією з антивірусами та системами кіберзахисту). Тобто поширенням успішних здирників та криптолокерів цього року займаються не лише їхні творці, а й «орендарі».
У таких умовах організаціям необхідно постійно оновлювати свої системи кібербезпеки та схеми відновлення даних на випадок атаки, адже єдиний ефективний спосіб боротьби з вірусами-здирниками — не платити викуп та позбавити їх авторів джерела прибутку.

Віруси-здирники, як і інші види шкідливого ПЗ, з роками еволюціонують і видозмінюються — від простих локерів, які не давали користувачеві увійти в систему, і «поліцейських» здирників, які лякали судовим переслідуванням за вигадані порушення закону, ми прийшли до програм. шифрувальникам. Ці зловреди шифрують файли на жорстких дисках (або диски повністю) і вимагають викуп не за повернення доступу до системи, а за те, що інформація користувача не буде видалена, продана в даркнеті або виставлена ​​на загальний огляд мережі. Причому виплата викупу не гарантує отримання ключа для розшифровки файлів. І ні, це «сто років тому вже було», а, як і раніше, актуальна загроза.

З огляду на успішність хакерів і прибутковість цього типу атак, фахівці вважають, що в майбутньому їх частота і винахідливість тільки зростатиме. За даними Cybersecurity Ventures, у 2016 році віруси-здирники атакували компанії приблизно раз на 40 секунд, у 2019 це відбувається раз на 14 секунд, а в 2021 році частота збільшиться до однієї атаки в 11 секунд. При цьому варто відзначити, що необхідний викуп (особливо, в цільових атаках на великі компанії або міську інфраструктуру), як правило, виявляється набагато нижче, ніж шкода, що завдається атакою. Так, травнева атака на урядові структури Балтімора, штат Меріленд, у США, завдала збитків на суму понад 18 млн доларів, при заявленій хакерами сумі викупу в 76 тис. доларів у біткоїновому еквіваленті. А атака на адміністрацію Атланти, штат Джорджія, у серпні 2018 року коштувала місту 17 млн ​​доларів США за необхідного викупу в 52 тис. доларів.

Інші новини