Вирусы-вымогатели - постоянная угроза для бизнеса
По данным отчета о тенденциях современной сферы киберпреступности, количество обнаружений вирусов-вымогателей в бизнес-инфраструктурах увеличилось на 365% в прошлом году, в основном за счет вирусов Ryuk и Phobos, число обнаружений каждого из которых выросло на 88% и 940% соответственно.
За прошлый год также выросло число атак вирусами-вымогателями GandCrab и Rapid на предприятия из различных сегментов бизнеса. Причем, число атак с помощью Rapid возросло на 319%, в то время как GandCrab – всего на 5%, что свидетельствует о замедлении роста его использования.
Наблюдаемое увеличение числа инцидентов с участием вирусов-вымогателей в бизнес-среде показывает, что киберпреступники нацелены на более высокую отдачу от инвестиций (ROI). В пользу этого довода выступают и данные, полученные из исследования компании Malwarebytes, которые демонстрируют, что количество обнаружений вирусов-вымогателей на компьютерах частных пользователей сократилось на 12%.
Исследователи отмечают, что подобный сдвиг является весьма показательным с точки зрения изменения приоритетов злоумышленников. Для наглядности отметим, что в последнем квартале 2017 года количество заражений ПК частных пользователей выросло на 55%, а число заражений компьютеров бизнес-пользователей – лишь на 2%.
Эксперты отмечают, что киберпреступники могут получить достаточно серьезные средства в виде выкупа от организаций по сравнению частными пользователями, у которых в лучшем случае преступник сможет выкрасть несколько личных файлов, чтобы затем использовать их для вымогательства, или личные данные.
В докладе Malwarebytes говорится, что шифрование критически важных конфиденциальных данных на любом количестве конечных точек позволяет киберпреступникам предъявлять гораздо более высокие требования по выкупу с «экспоненциально более высокой вероятностью» получения оплаты.
США находятся на вершине рейтинга вымогателей (53% всех обнаружений), за ними следуют Канада (10%) и Великобритания (9%), которые замыкают тройку лидеров по количеству обнаружений вымогателей в мире за прошлый год – причем, как для предприятий, так и для частных пользователей.
Возвращение вирусов-вымогателей
Несмотря на кажущееся затишье в использовании систем кибервымогательства после своего пика в 2017 году, эта угроза в значительной степени ожила, переключившись с массовых потребительских кампаний на целенаправленные атаки на бизнес.
Киберпреступники, стремящиеся к большей выгоде, были заняты эксплуатацией слабой инфраструктуры и плохо сконструированной операционной безопасности для шифрования критически важных для бизнеса данных с целью получения более крупных выплат, а организации в значительной степени оказались застигнуты врасплох и мало подготовлены к подобным проблемам.
В отчете экспертов отмечается значительный рост и количества атак вирусов-вымогателей с целевыми кампаниями против городов и муниципалитетов, подобных тем, которые имели место в Балтиморе, Флориде и Грузии, особенно с начала 2019 года.
Основной силой атаки в этих случаях стали семейства вирусов-вымогателей, таких как Ryuk и RobinHood, хотя SamSam и Dharma также были замечены не раз. И восстановление после этих атак было медленным и болезненным, а основной проблемой оставались инфраструктурные решения.
Согласно отчету, с декабря 2017 года на Западе киберпреступники все чаще атаковали организации в секторах образования и здравоохранения, вероятно, именно из-за их устаревшей инфраструктуры, устаревших аппаратных и программных приложений и отсутствия средств для обеспечения безопасности.
Заглядывая в будущее, исследователи прогнозируют, что так называемые «ручные» заражения вымогателями, использующие возможности уже взломанных сетей, возрастут, что позволит злоумышленникам отключить средства безопасности и самостоятельно запустить вирус в сети предприятия.
Исследователи также ожидают увидеть рост числа атак вымогателей, которые будут включать в себя целый комплекс вирусных возможностей: загруженные угрозы с командно-контрольного (C&C) сервера с червеобразной функциональностью, которая обеспечивает возможность распространения вируса, а также с троянскими элементами, которые позволят ему оставаться незамеченным в организационных сетях.
Ожидается, что вирусы-вымогатели продолжат свое «партнерство» с другими семействами вредоносных программ, ожидается развитие атак по электронной почте с целью использования как технических, так и человеческих уязвимостей, в то время как атаки против частных пользователей практически исчезнут.
Злоумышленники будут все чаще нацеливаться на критически важную инфраструктуру, признавая, что подрыв важных сетей, вероятно, приведет к более высокой вероятности оплаты.
В случае заражения частного ПК требование выкупа, вероятно, будет заменено потоком рекламного и другого вредоносного ПО, предназначенного для захвата внимания и вычислительной мощности.
Предприятия должны и впредь серьезно относиться к угрозе вирусов-вымогателей, особенно в текущей ситуации, когда бизнес-вымогатели все больше доминируют. Однако несмотря на успех новых угроз вымогателей, использующих передовые технологии и сложные векторы атак, старые семейства вирусов, такие как Cerber и Locky, вполне способны продолжать вызывать негативные последствия. А потому мы должны расширять методы предотвращения, обнаружения, устранения вирусов и восстановления после этих атак за пределы того, что мы уже делали в прошлом.