Контакты
Подписка 2024

Майнеры, вымогатели, мошенники — основные киберугрозы первой половины 2021 года

Trend Micro, 08/10/21

Современные киберпреступники не пытаются изобрести что-то принципиально новое. Напротив, они стремятся повысить эффективность уже известных тактик и техник, чтобы получать больший доход при минимальных затратах. Именно это мы наблюдали в течение шести месяцев 2021 г.: привычные киберугрозы эволюционировали в направлении повышения маржинальности. Главные из них — шифровальщики-вымогатели, майнеры криптовалют и мошенничество, преимущественно сосредоточившееся вокруг темы COVID-19.

Краткий обзор ландшафта киберугроз

Одним из самых громких инцидентов первой половины 2021 г. стала атака вымогательской группировки DarkSide на компанию Colonial Pipeline. В результате работа крупнейшего поставщика газа была парализована, без топлива осталась половина Восточного побережья США. 

Профессиональные киберпреступные группы массово взламывали облачные серверы Amazon Web Services (AWS), Kubernetes и популярную в Азии платформу веб-почты, преследуя при этом различные цели: одни пытались похитить сведения о банковских счетах, другие — установить криптовалютные майнеры. 

Для распространения вредоносного ПО использовались социальная инженерия и критические уязвимости в популярных серверных платформах. 

Организаторы мошеннических кампаний продолжали использовать CODID-19 в качестве базового инфоповода, но сместили акцент с самой болезни на прививочные сертификаты и внеочередной доступ к вакцинам. 

С января по июнь 2021 г. было зафиксировано более 40 млрд различных угроз, основную часть которых составили вредоносные письма, файлы и ссылки. 

Шифровальщики-вымогатели

За первые шесть месяцев 2021 г. продукты компании Trend Micro обнаружили 7,3 млн угроз от программ-вымогателей. По сравнению с 2020 г. количество обнаружений снизилось на 50%, однако атаки первой половины 2021 г. были более целенаправленными и сложными и потому более разрушительными, чем прежде. 

Лидером по числу обнаружений в 2021 году по-прежнему остается незабвенный WannaCry. И хотя он встречался вдвое реже, чем в прошлом году, остальные вымогатели следуют за ним с большим отставанием. 

Больше всего от атак вымогателей пострадали организации банковского, государственного и производственного секторов, причем число попыток вымогательства у банковских групп выросло в несколько раз.

Одним из новшеств 2021 г. стала схема многократного вымогательства, массово распространившаяся среди операторов вредоносных программ. Она заключается в том, что преступники не только шифруют файлы компании-жертвы, парализуя ее работу, но и выполняют другие действия: кражу файлов, DDoS-атаки и рассылку писем клиентам жертвы — чтобы увеличить количество возможных рычагов давления и суммы выкупа. 

Впервые двойное вымогательство применила группировка Maze, а их «коллеги» быстро внедрили новацию в своих кампаниях. Пионером в тройном вымогательстве является преступная группа Avaddon, а тактику четырехкратного вымогательства первой применила хак-группа Cl0p. 

Еще одна «инновация» 2021 г. — разделение труда и использование партнерских программ для получения доступа к инфраструктуре предприятий-жертв: профессиональные хакеры взламывают сети различных компаний, а затем продают полученный доступ другим группировкам, которые выполняют непосредственно атаку. Вместе с тем количество обнаруженных семейств вымогательского ПО неуклонно снижается с 2020 г. — в первом полугодии 2021 г. было обнаружено всего 49 семейств. Несмотря на это, большинство самых громких по размеру финансового ущерба и влияния на реальные операции атак провели именно операторы вымогателей.

Майнеры криптовалют

По числу обнаружений майнеры криптовалют в 2021 г. вышли на первое место, опередив шифровальщики, которые лидировали в течение 2020 года. Операторы нелегального криптомайнинга атакуют облачные сервисы, используя уязвимости и небезопасно сконфигурированные серверы, внедряются в образы контейнеров на специализированных ресурсах-репозиториях. Лидеры нелегального криптомайнинга в основном те же, что и в 2020 г. MalXMR сохранил первое место, а Cominminer и ToolXMR улучшили свои позиции. 

Уязвимости нулевого дня

Фактором, объединившим операторов вымогательского ПО и нелегального майнинга криптовалют, стало использование в атаках критических уязвимостей, для которых не было исправлений. 

В марте 2021 г. Microsoft пришлось столкнуться с массовой эксплуатацией четырех уязвимостей нулевого дня в Microsoft Exchange Server, получивших общее название ProxyLogon. 

ProxyLogon использовалась кибергруппировками для распространения криптовалютного майнера LemonDuck, а также вымогательского ПО DearCry и BlackKingdom. 

Уязвимые серверы были легкой мишенью, поскольку большинство порталов Outlook Web App являются публичными и индексируются поисковыми системами. По данным поисковика Shodan, 4 марта 2021 г., на следующий день после выхода исправления, в интернете насчитывалось более 266 тыс. уязвимых к ProxyLogon серверов Exchange.

Вторая «звездная» уязвимость 2021 г. — ошибка в Print Spooler, службе печати Windows. Проблема получила название PrintNightmare и позволяла выполнить произвольный код с привилегиями системы. Благодаря случайно опубликованному в интернете коду для эксплуатации этой ошибки злоумышленники получили возможность устанавливать в уязвимых системах произвольные программы, просматривать, изменять или удалять данные, а также создавать новые учётные записи с правами администратора.

Мошенничество вокруг COVID-19

В первом полугодии 2021 г. многие пользователи были атакованы COVID-мошенниками. Они использовали все виды сообщений — от SMS и мессенджеров до электронной почты, соцсетей и вредоносной рекламы, чтобы заманить людей на свои ресурсы и заставить поделиться персональной и банковской информацией. В качестве приманки использовались обещания внеочередного доступа к вакцинам, пакеты стимулов для безработных и компенсации для потерявших источник дохода. 

В некоторых кампаниях использовались вредоносные мобильные приложения, якобы, для регистрации на внеочередное вакцинирование или поддельные сайты медицинской помощи. В действительности эти приложения и сайты распространяли вредоносные программы, подобные Anubis и Cerberus.

Наибольшее число случаев COVID-мошенничества было зафиксировано в США и Германии. Вместе с тем число таких угроз с прошлого года снизилось на 50%. Возможные факторы этого снижения — усиление мер безопасности со стороны предприятий и пользователей, улучшение обнаружения и блокировки онлайн-приложений и программных векторов, а также снижение интереса киберпреступников к использованию COVID-19 в качестве темы для своих приманок. 

Чего опасаться в 2021 году и как предотвратить угрозы

Вот список угроз для организаций и предприятий, который мы считаем наиболее серьезными:

  • остановка деятельности организации и финансовый ущерб из-за атаки шифровальщика;
  • проникновение в корпоративную сеть через уязвимые серверы и хищение конфиденциальных данных;
  • замедление отклика серверов и дополнительные расходы за превышение лимита использования облачных вычислительных ресурсов в результате работы майнеров криптовалюты;
  • кража логинов и паролей пользователей и атаки с компрометацией деловой переписки.

Как действовать, чтобы предотвратить эти угрозы:

  • обучать работников защите от мошенников и тренировать полученные навыки;
  • оперативно устанавливать все обновления для ОС, программ и устройств;
  • контролировать использование серверных ресурсов, особенно облачных;
  • использовать актуальные многоуровневые средства защиты корпоративных ресурсов от кибератак.
Темы:Исследование

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать