Контакты
Подписка 2025

Майнеры, вымогатели, мошенники — основные киберугрозы первой половины 2021 года

Trend Micro, 08/10/21

Современные киберпреступники не пытаются изобрести что-то принципиально новое. Напротив, они стремятся повысить эффективность уже известных тактик и техник, чтобы получать больший доход при минимальных затратах. Именно это мы наблюдали в течение шести месяцев 2021 г.: привычные киберугрозы эволюционировали в направлении повышения маржинальности. Главные из них — шифровальщики-вымогатели, майнеры криптовалют и мошенничество, преимущественно сосредоточившееся вокруг темы COVID-19.

Краткий обзор ландшафта киберугроз

Одним из самых громких инцидентов первой половины 2021 г. стала атака вымогательской группировки DarkSide на компанию Colonial Pipeline. В результате работа крупнейшего поставщика газа была парализована, без топлива осталась половина Восточного побережья США. 

Профессиональные киберпреступные группы массово взламывали облачные серверы Amazon Web Services (AWS), Kubernetes и популярную в Азии платформу веб-почты, преследуя при этом различные цели: одни пытались похитить сведения о банковских счетах, другие — установить криптовалютные майнеры. 

Для распространения вредоносного ПО использовались социальная инженерия и критические уязвимости в популярных серверных платформах. 

Организаторы мошеннических кампаний продолжали использовать CODID-19 в качестве базового инфоповода, но сместили акцент с самой болезни на прививочные сертификаты и внеочередной доступ к вакцинам. 

С января по июнь 2021 г. было зафиксировано более 40 млрд различных угроз, основную часть которых составили вредоносные письма, файлы и ссылки. 

Шифровальщики-вымогатели

За первые шесть месяцев 2021 г. продукты компании Trend Micro обнаружили 7,3 млн угроз от программ-вымогателей. По сравнению с 2020 г. количество обнаружений снизилось на 50%, однако атаки первой половины 2021 г. были более целенаправленными и сложными и потому более разрушительными, чем прежде. 

Лидером по числу обнаружений в 2021 году по-прежнему остается незабвенный WannaCry. И хотя он встречался вдвое реже, чем в прошлом году, остальные вымогатели следуют за ним с большим отставанием. 

Больше всего от атак вымогателей пострадали организации банковского, государственного и производственного секторов, причем число попыток вымогательства у банковских групп выросло в несколько раз.

Одним из новшеств 2021 г. стала схема многократного вымогательства, массово распространившаяся среди операторов вредоносных программ. Она заключается в том, что преступники не только шифруют файлы компании-жертвы, парализуя ее работу, но и выполняют другие действия: кражу файлов, DDoS-атаки и рассылку писем клиентам жертвы — чтобы увеличить количество возможных рычагов давления и суммы выкупа. 

Впервые двойное вымогательство применила группировка Maze, а их «коллеги» быстро внедрили новацию в своих кампаниях. Пионером в тройном вымогательстве является преступная группа Avaddon, а тактику четырехкратного вымогательства первой применила хак-группа Cl0p. 

Еще одна «инновация» 2021 г. — разделение труда и использование партнерских программ для получения доступа к инфраструктуре предприятий-жертв: профессиональные хакеры взламывают сети различных компаний, а затем продают полученный доступ другим группировкам, которые выполняют непосредственно атаку. Вместе с тем количество обнаруженных семейств вымогательского ПО неуклонно снижается с 2020 г. — в первом полугодии 2021 г. было обнаружено всего 49 семейств. Несмотря на это, большинство самых громких по размеру финансового ущерба и влияния на реальные операции атак провели именно операторы вымогателей.

Майнеры криптовалют

По числу обнаружений майнеры криптовалют в 2021 г. вышли на первое место, опередив шифровальщики, которые лидировали в течение 2020 года. Операторы нелегального криптомайнинга атакуют облачные сервисы, используя уязвимости и небезопасно сконфигурированные серверы, внедряются в образы контейнеров на специализированных ресурсах-репозиториях. Лидеры нелегального криптомайнинга в основном те же, что и в 2020 г. MalXMR сохранил первое место, а Cominminer и ToolXMR улучшили свои позиции. 

Уязвимости нулевого дня

Фактором, объединившим операторов вымогательского ПО и нелегального майнинга криптовалют, стало использование в атаках критических уязвимостей, для которых не было исправлений. 

В марте 2021 г. Microsoft пришлось столкнуться с массовой эксплуатацией четырех уязвимостей нулевого дня в Microsoft Exchange Server, получивших общее название ProxyLogon. 

ProxyLogon использовалась кибергруппировками для распространения криптовалютного майнера LemonDuck, а также вымогательского ПО DearCry и BlackKingdom. 

Уязвимые серверы были легкой мишенью, поскольку большинство порталов Outlook Web App являются публичными и индексируются поисковыми системами. По данным поисковика Shodan, 4 марта 2021 г., на следующий день после выхода исправления, в интернете насчитывалось более 266 тыс. уязвимых к ProxyLogon серверов Exchange.

Вторая «звездная» уязвимость 2021 г. — ошибка в Print Spooler, службе печати Windows. Проблема получила название PrintNightmare и позволяла выполнить произвольный код с привилегиями системы. Благодаря случайно опубликованному в интернете коду для эксплуатации этой ошибки злоумышленники получили возможность устанавливать в уязвимых системах произвольные программы, просматривать, изменять или удалять данные, а также создавать новые учётные записи с правами администратора.

Мошенничество вокруг COVID-19

В первом полугодии 2021 г. многие пользователи были атакованы COVID-мошенниками. Они использовали все виды сообщений — от SMS и мессенджеров до электронной почты, соцсетей и вредоносной рекламы, чтобы заманить людей на свои ресурсы и заставить поделиться персональной и банковской информацией. В качестве приманки использовались обещания внеочередного доступа к вакцинам, пакеты стимулов для безработных и компенсации для потерявших источник дохода. 

В некоторых кампаниях использовались вредоносные мобильные приложения, якобы, для регистрации на внеочередное вакцинирование или поддельные сайты медицинской помощи. В действительности эти приложения и сайты распространяли вредоносные программы, подобные Anubis и Cerberus.

Наибольшее число случаев COVID-мошенничества было зафиксировано в США и Германии. Вместе с тем число таких угроз с прошлого года снизилось на 50%. Возможные факторы этого снижения — усиление мер безопасности со стороны предприятий и пользователей, улучшение обнаружения и блокировки онлайн-приложений и программных векторов, а также снижение интереса киберпреступников к использованию COVID-19 в качестве темы для своих приманок. 

Чего опасаться в 2021 году и как предотвратить угрозы

Вот список угроз для организаций и предприятий, который мы считаем наиболее серьезными:

  • остановка деятельности организации и финансовый ущерб из-за атаки шифровальщика;
  • проникновение в корпоративную сеть через уязвимые серверы и хищение конфиденциальных данных;
  • замедление отклика серверов и дополнительные расходы за превышение лимита использования облачных вычислительных ресурсов в результате работы майнеров криптовалюты;
  • кража логинов и паролей пользователей и атаки с компрометацией деловой переписки.

Как действовать, чтобы предотвратить эти угрозы:

  • обучать работников защите от мошенников и тренировать полученные навыки;
  • оперативно устанавливать все обновления для ОС, программ и устройств;
  • контролировать использование серверных ресурсов, особенно облачных;
  • использовать актуальные многоуровневые средства защиты корпоративных ресурсов от кибератак.
Темы:Исследование

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Сколько в 2022 году стоит специалист по информационной безопасности?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вакансий в сфере ИБ и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%
  • Разногласия между разработчиками и службами безопасности растут
    Разработчики считают, что политики безопасности сдерживают внедрение инноваций, а система безопасности по-прежнему воспринимается в организациях как барьер

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...