Большая часть всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на вирусы-шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh. Об этом сообщил центр реагирования на инциденты кибербезопасности CERT Group-IB. Чтобы обойти антивирусные системы, письма с вредоносными ссылками отправляются в нерабочее время с отложенной активацией, более 80% всех вредоносных файлов для маскировки доставлялись в RAR и ZIP архивах.

Исследование CERT-GIB основано на данных, полученных системой Threat Detection System (TDS) Polygon, в рамках предотвращения и обнаружения угроз, распространяющихся в интернете в первом полугодии 2019 в 60 странах мира. Согласно выводам отчета, основным способом доставки вредоносных программ — вирусов-шифровальщиков, банковских троянов, бэкдоров - по-прежнему остается электронная почта. Наблюдается десятикратный рост использования запароленных объектов — документов или архивов. В 2017 на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 их количество выросло до 3,6%. В первой половине 2019 наблюдается аномальный рост до 27,8%.

Другой тенденцией стала маскировка вредоноса в письме. Для того чтобы обойти средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых шести месяцев 2019 в архивах доставлялось более 80% всех вредоносных объектов, в основном, для этого использовались форматы zip (32%) и rar (25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018 ссылок на вредоносные программы приходилось вдвое меньше.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

Для того чтобы жертва открыла письмо или распаковала архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова "платеж", "приглашение", "скан", "акт", то в этом году чаще всего используют "документы", "заказ", "ордер" или "пароль". В атаках на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и т.д. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносное вложение. Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который в свою очередь, представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска – специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

Если в 2018 угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 существенно ухудшилась ситуация с шифровальщиками: они вновь уверенно вернулись на первое место (54%).

В топ-3 самых массовых атак вошли следующие вредоносные программы: Troldesh (53%), RTM (17%), Pony (6%).

Troldesh - самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

На втором месте - банковский троян RTM, написанный одноименной хакерской группировкой. Появившись в 2016 RTM привлек особое внимание тем, что получение списка управляющих серверов происходило при обращении к странице профиля на площадке Livejournal. Используя различные схемы распространения, RTM на какое-то время пропал из виду и в середине 2018 снова заявил о себе, распространяясь через сеть поддельных бухгалтерских сайтов. Далее на протяжении всего отчетного периода использовался в различных атаках на финансовые учреждения и предприятия. С начала 2019 количество вредоносных рассылок с RTM держится на стабильно высоком уровне.

На третьем месте - вредоносная программа Pony Formgrabber, задача которой - хищения пользовательских паролей из более чем 100 приложений, в числе которых e-mail-клиенты, мессенджеры, веб-браузеры, FTP- и VPN-клиенты. Некоторые версии предоставляют возможности для скрытой загрузки и установки дополнительных вредоносных программ на инфицированном компьютере.

Для защиты информации эксперты рекомендуют выполнять следующие простые требования безопасности: не открывать архивы и не переходить по ссылкам из писем, полученных от неизвестных отправителей, вовремя устанавливать обновления операционной системы и важных программ, а также обязательно делать резервные копии данных.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бэкапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бакапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании.