Современные киберпреступники не пытаются изобрести что-то принципиально новое. Напротив, они стремятся повысить эффективность уже известных тактик и техник, чтобы получать больший доход при минимальных затратах. Именно это мы наблюдали в течение шести месяцев 2021 г.: привычные киберугрозы эволюционировали в направлении повышения маржинальности. Главные из них — шифровальщики-вымогатели, майнеры криптовалют и мошенничество, преимущественно сосредоточившееся вокруг темы COVID-19.
Одним из самых громких инцидентов первой половины 2021 г. стала атака вымогательской группировки DarkSide на компанию Colonial Pipeline. В результате работа крупнейшего поставщика газа была парализована, без топлива осталась половина Восточного побережья США.
Профессиональные киберпреступные группы массово взламывали облачные серверы Amazon Web Services (AWS), Kubernetes и популярную в Азии платформу веб-почты, преследуя при этом различные цели: одни пытались похитить сведения о банковских счетах, другие — установить криптовалютные майнеры.
Для распространения вредоносного ПО использовались социальная инженерия и критические уязвимости в популярных серверных платформах.
Организаторы мошеннических кампаний продолжали использовать CODID-19 в качестве базового инфоповода, но сместили акцент с самой болезни на прививочные сертификаты и внеочередной доступ к вакцинам.
С января по июнь 2021 г. было зафиксировано более 40 млрд различных угроз, основную часть которых составили вредоносные письма, файлы и ссылки.
За первые шесть месяцев 2021 г. продукты компании Trend Micro обнаружили 7,3 млн угроз от программ-вымогателей. По сравнению с 2020 г. количество обнаружений снизилось на 50%, однако атаки первой половины 2021 г. были более целенаправленными и сложными и потому более разрушительными, чем прежде.
Лидером по числу обнаружений в 2021 году по-прежнему остается незабвенный WannaCry. И хотя он встречался вдвое реже, чем в прошлом году, остальные вымогатели следуют за ним с большим отставанием.
Больше всего от атак вымогателей пострадали организации банковского, государственного и производственного секторов, причем число попыток вымогательства у банковских групп выросло в несколько раз.
Одним из новшеств 2021 г. стала схема многократного вымогательства, массово распространившаяся среди операторов вредоносных программ. Она заключается в том, что преступники не только шифруют файлы компании-жертвы, парализуя ее работу, но и выполняют другие действия: кражу файлов, DDoS-атаки и рассылку писем клиентам жертвы — чтобы увеличить количество возможных рычагов давления и суммы выкупа.
Впервые двойное вымогательство применила группировка Maze, а их «коллеги» быстро внедрили новацию в своих кампаниях. Пионером в тройном вымогательстве является преступная группа Avaddon, а тактику четырехкратного вымогательства первой применила хак-группа Cl0p.
Еще одна «инновация» 2021 г. — разделение труда и использование партнерских программ для получения доступа к инфраструктуре предприятий-жертв: профессиональные хакеры взламывают сети различных компаний, а затем продают полученный доступ другим группировкам, которые выполняют непосредственно атаку. Вместе с тем количество обнаруженных семейств вымогательского ПО неуклонно снижается с 2020 г. — в первом полугодии 2021 г. было обнаружено всего 49 семейств. Несмотря на это, большинство самых громких по размеру финансового ущерба и влияния на реальные операции атак провели именно операторы вымогателей.
По числу обнаружений майнеры криптовалют в 2021 г. вышли на первое место, опередив шифровальщики, которые лидировали в течение 2020 года. Операторы нелегального криптомайнинга атакуют облачные сервисы, используя уязвимости и небезопасно сконфигурированные серверы, внедряются в образы контейнеров на специализированных ресурсах-репозиториях. Лидеры нелегального криптомайнинга в основном те же, что и в 2020 г. MalXMR сохранил первое место, а Cominminer и ToolXMR улучшили свои позиции.
Фактором, объединившим операторов вымогательского ПО и нелегального майнинга криптовалют, стало использование в атаках критических уязвимостей, для которых не было исправлений.
В марте 2021 г. Microsoft пришлось столкнуться с массовой эксплуатацией четырех уязвимостей нулевого дня в Microsoft Exchange Server, получивших общее название ProxyLogon.
ProxyLogon использовалась кибергруппировками для распространения криптовалютного майнера LemonDuck, а также вымогательского ПО DearCry и BlackKingdom.
Уязвимые серверы были легкой мишенью, поскольку большинство порталов Outlook Web App являются публичными и индексируются поисковыми системами. По данным поисковика Shodan, 4 марта 2021 г., на следующий день после выхода исправления, в интернете насчитывалось более 266 тыс. уязвимых к ProxyLogon серверов Exchange.
Вторая «звездная» уязвимость 2021 г. — ошибка в Print Spooler, службе печати Windows. Проблема получила название PrintNightmare и позволяла выполнить произвольный код с привилегиями системы. Благодаря случайно опубликованному в интернете коду для эксплуатации этой ошибки злоумышленники получили возможность устанавливать в уязвимых системах произвольные программы, просматривать, изменять или удалять данные, а также создавать новые учётные записи с правами администратора.
В первом полугодии 2021 г. многие пользователи были атакованы COVID-мошенниками. Они использовали все виды сообщений — от SMS и мессенджеров до электронной почты, соцсетей и вредоносной рекламы, чтобы заманить людей на свои ресурсы и заставить поделиться персональной и банковской информацией. В качестве приманки использовались обещания внеочередного доступа к вакцинам, пакеты стимулов для безработных и компенсации для потерявших источник дохода.
В некоторых кампаниях использовались вредоносные мобильные приложения, якобы, для регистрации на внеочередное вакцинирование или поддельные сайты медицинской помощи. В действительности эти приложения и сайты распространяли вредоносные программы, подобные Anubis и Cerberus.
Наибольшее число случаев COVID-мошенничества было зафиксировано в США и Германии. Вместе с тем число таких угроз с прошлого года снизилось на 50%. Возможные факторы этого снижения — усиление мер безопасности со стороны предприятий и пользователей, улучшение обнаружения и блокировки онлайн-приложений и программных векторов, а также снижение интереса киберпреступников к использованию COVID-19 в качестве темы для своих приманок.
Вот список угроз для организаций и предприятий, который мы считаем наиболее серьезными:
Как действовать, чтобы предотвратить эти угрозы: