Согласно годовому отчету аналитиков "Лаборатории Касперского", в 2016 году программы-вымогатели закрепили за собой звание главной киберугрозы. Постоянно появляются новые образцы и модификации вымогателей, питая обширную киберпреступную экосистему и нанося значительный ущерб не только индивидуальным пользователям, но и компаниям.
В 2016 году, по данным "Лаборатории", возникло 62 новых семейства вымогателей, а количество новых модификаций вымогателей выросло в 11 раз - с 2900 в период с января по март до 32 091 в июле-сентябре. Число атак на компании с использованием вымогателей утроилось за три квартала 2016 года: в сентябре подобные атаки случались в среднем каждые 40 секунд, притом в итоге каждая пятая компания сегмента малого и среднего бизнеса даже после уплаты выкупа не смогла восстановить данные. В это же время возросла интенсивность ransomware-атак на конечных пользователей: раньше атаки проводились в среднем раз в 20 секунд, а к концу отчетного периода - уже раз в 10 секунд.
Еще один тренд, отмеченный аналитиками в 2016 году, - усложнение вымогательских программ и растущее разнообразие их функциональности. Например, некоторые вымогатели умеют менять тактику, если обнаружат на компьютере финансовое ПО. Эта двойная природа характерна для одного из образцов Shade. Определив, что зараженный компьютер содержит финансовое ПО, вместо шифрования файлов зловред устанавливал шпионскую программу, чтобы, скорее всего, выводить денежные средства.
Появился целый ряд вымогателей, написанных на скриптовых языках (HolyCrypt и CryPy на Python, а также Stampado на AutoIt). Также в 2016 году появились зловреды, сочетающие особенности шифровальщиков и блокировщиков экрана. Некоторые зловреды, например Petya, шифруют не отдельные файлы, а главную файловую таблицу (MFT), что делает невозможной перезагрузку компьютера.
HDDcryptor, также известный как Mamba, блокирует сразу весь жесткий диск, шифруя каждый сектор диска, включая операционную систему, приложения, файлы совместного использования и все личные данные. Последний притом доставляется на компьютер вручную, а не через эксплойт-паки или спам: злоумышленники подбирают пароль к компьютеру, что зачастую происходит при проникновении в корпоративную сеть.
Среди вымогателей, появившихся в 2016 году, - серьезные угрозы вроде CryptXXX, Cerber и Locky, распространяемые через спам и эксплойт-паки и нацеленные как на домашних, так и на корпоративных пользователей; они появились в начале весны. "Новички" практически не отстают от таких "именитых" угроз, как CTB-Locker, CryptoWall и Shade. На начало октября 2016 года в тройку самых распространенных вымогателей вошли CTB-Locker (25,32% зараженных пользователей), Locky (7,07%) и TeslaCrypt (6,54%).
Последний наряду с Chimera и WildFire выбыл из игры в 2016 году. Есть причины считать, что мастер-ключ к TeslaCrypt опубликовали сами создатели вымогателя. 3,5 тыс. ключей к Chimera были слиты, скорее всего, разработчиками мощной комбинации Petya/Mischa в рамках конкурентной борьбы. WildFire был обезврежен совместными усилиями "Лаборатории Касперского", Intel Security и Европола, которые создали дешифратор после отключения серверов зловреда.
Но подобные истории - не всегда однозначно хорошие новости. Публикация мастер-ключей опасных и действенных вымогателей самими киберпреступниками может означать только то, что происходит активная конкурентная борьба либо "павшим" готовят достойную смену. И то, и другое - причина для беспокойства пользователей и ИБ-специалистов.
Ввиду нарастающей угрозы исследователи решили, действуя из лучших побуждений, создать "учебные" программы-вымогатели для моделирования атак. Но, выложив исходный код в открытый доступ, как сделал турецкий эксперт Утку Сен (Utku Sen), исследователи дали киберпреступникам выгодную возможность создавать программы-вымогатели, не имея особых познаний в программировании. Так, например, появились вымогатели Ded Cryptor, требовавший за расшифровку крупный выкуп в размере 2 биткойна ($1,3 тыс.), и Fantom, искусно маскировавшийся под обновление Windows, демонстрируя экран обновления, чтобы, не привлекая внимания пользователя, успеть зашифровать файлы.
Наличие готового исходного кода и общая привлекательность бизнес-модели открыли дверь в киберпреступный мир хакерам-дилетантам и плагиаторам. Многие троянцы-вымогатели, впервые обнаруженные в 2016 году, оказались низкого качества - простые, с ошибками в коде и банальными описками в текстах требования выкупа. Таких в 2016 году было много, но больше всех отличился Polyglot/MarsJoke. Он полностью копирует внешний вид CTB-Locker и его подход к обработке файлов.
В 2016 году модель "вымогатель как услуга" (Ransomware-as-a-Service, RaaS) получила широкое распространение, из-за чего все большее количество хакеров стали предлагать зловреда в аренду или в комплексе с другими услугами (например, с круглосуточной техподдержкой). Кроме того, есть прецеденты, когда распространители зловреда работали в связке с вирусописателями за процент от оборота. Многообразие подходов превратило вымогательство в растущую и совершенствующуюся экосистему и прибыльный бизнес. Удобство модели привлекло в отрасль очень много новичков, которым до этого вход в киберпреступный мир был заказан. Например, снизился входной порог: заплатив всего $39, можно было купить вымогатель Stampado и вступить в игру.
Наиболее "профессиональные" киберпреступники предлагали своим жертвам консультационную и техническую поддержку, помогая им приобрести биткойны для уплаты выкупа, а иногда даже вступали в переговоры с ними. В Бразилии, к примеру, вирусописатели уделяют большое значение брендингу. Те, кто стремился привлечь внимание средств массовой информации и напугать клиентов, активно использовали резонансные события, имена известных людей или рекламные приемы.
Для уплаты выкупа все так же используются биткойны. В основном суммы выкупа были умеренными, в среднем около $300, но некоторые киберпреступники требовали гораздо больше. В некоторых регионах тем не менее были и локальные варианты оплаты, но это характерно для менее масштабных кампаний.
Атаки вымогательского ПО больно ударили по бизнесу. В первом квартале 2016 года 17% атак с применением программ-вымогателей были направлены против корпоративного сектора, а к концу третьего квартала эта доля выросла до 23,9%. В 2016 году каждая пятая компания по всему миру столкнулась как минимум с одним инцидентом IT-безопасности в результате атак с применением программы-вымогателя. По данным "Лаборатории Касперского", за последний год с ransomware-атаками столкнулись 42% предприятий малого и среднего бизнеса, из них 32% уплатили выкуп, но при этом 67% жертв программ-вымогателей полностью или частично потеряли свои корпоративные данные и потратили несколько недель на их восстановление. В 20% случаев заражение происходило из-за неосторожности или неосведомленности сотрудников.
Согласно статистике "Лаборатории", жертвами вымогателей чаще всего становятся предприятия сферы образования (23%), ИТ-компании (22%), СМИ и развлекательные ресурсы (совокупно 21%). Оказавшиеся в этом рейтинге на девятом месте больницы становятся все более популярными мишенями атак - несколько из них даже вынуждены были уплатить выкуп, так как иначе не могли восстановить нормальную работу учреждения. Например, руководство Пресвитерианского медицинского центра Голливуда в Лос-Анджелесе заплатило вымогателям $17 тыс.
Несмотря на тревожную картину, есть и позитивные сдвиги. В 2016 году был учрежден совместный проект полиции Нидерландов, Европола и компаний Intel Security и "Лаборатория Касперского", получивший наименование No More Ransom. На этом ресурсе размещаются все доступные дешифраторы, а также полезные рекомендации о том, как избежать заражения шифровальщиками и что делать, если это уже произошло. На сегодняшний день свыше 4400 пользователей сумели восстановить свои данные, сэкономив более $1,5 млн в результате отказа от уплаты выкупа.
В декабре Европол объявил о том, что к проекту присоединились еще 30 партнеров, как из госсектора, так и из коммерческих компаний. После вступления новых участников в инициативу на сайте появится намного больше дешифраторов, благодаря которым жертвы вымогателей смогут расшифровать свои данные без уплаты выкупа. В октябре к изначальным участникам инициативы присоединились 13 стран, а с середины декабря в No More Ransom состоят представители 22 стран мира.
|
Антивирус Касперского
Базовая защита Windows Kaspersky Anti-Virus – это решение для базовой защиты компьютера от основных видов интернет-угроз, не снижающее его производительность. |