Нове дослідження Symantec показує, що організації стикаються з безпрецедентним рівнем небезпеки цільових атак програм-вимагачів, оскільки кількість зловмисників збільшується, а тактика стає все більш витонченою.
Протягом останніх кількох років цільові програми-вимагачі є одним з основних кіберризиків для компаній та інших великих організацій. Однак, як зазначається в новому документі, підготовленому командою Symantec Threat Hunter, що входить до складу Broadcom Software, за останні дванадцять місяців зловмисники стали більш агресивними, знайшли більше способів збільшити охоплення своїх атак і стали більш амбітними, організувавши ряд зухвалих і вкрай руйнівних атак.
Напад на компанію Colonial Pipeline у США у травні 2021 року викликав значні перебої в роботі та викликав побоювання з приводу постачання палива до країни. У тому ж місяці атака на національну службу охорони здоров’я Ірландії (Health Service Executive) змусила скасувати тисячі прийомів та розпочати операцію з відновлення, яка завершується лише зараз.
Хоча загальний рівень активності програм-вимагачів знизився, це пояснюється зменшенням кількості масових та безладних атак. Велике занепокоєння викликає той факт, що кількість організацій, підтверджених як постраждалі від цільових атак програм-вимагачів, збільшилася на 83% за останні 18 місяців – з 81 у січні 2020 року до 148 у червні 2021 року.
Реальна кількість цільових атак програм-вимагачів набагато вища. Підтверджені атаки відомих сімейств цільових програм-вимагачів, ймовірно, є лише репрезентативною вибіркою із загальної кількості атак із використанням цих загроз. Багато цільових атак програм-вимагачів припиняються до розгортання корисного навантаження, тому вони можуть бути не ідентифіковані як програми-вимагачі. Крім того, більшість операторів цільових програм-вимагачів перекомпілюють свої програми-вимагачі для кожної нової атаки. Це означає, що варіант програми-вимагача, що використовується в атаці, може бути заблокований загальними засобами виявлення або засобами машинного навчання, а не засобами виявлення, пов’язаними з цим сімейством програм- вимагачів.
Поряд із підвищенням рівня активності ландшафт погроз вимагачів став складнішим і витонченішим, а низка нових розробок посилили загрозу для організацій.
Зростання популярності програм-вимагачів як послуги
Хоча концепція ransomware-as-a-service (RaaS) не є новою, ринок RaaS значно еволюціонував за останній рік. В даний час базова схема включає надання авторами викупних програм доступу до самих викупних програм, хостингу для зламаних даних і ведення переговорів про викуп. У деяких випадках, як повідомляється, розробники викупних програм надають своїм афілійованим особам цілу програму дій.
Однак деякі афілійовані особи, які займаються розсилкою здирницького ПЗ, тепер, схоже, все менше залежать від авторів здирницького ПЗ. Хоча давно відомо, що філії переходять до інших розробників здирницького ПЗ, якщо розробник, з яким вони працювали, припиняє свою діяльність, багато з них тепер використовують власні інструменти, тактики та процедури (TTP) незалежно від корисного навантаження, яку вони розгортають. Деякі філії тепер, схоже, одночасно співпрацюють із кількома авторами програм-вимагачів. Команда Symantec Threat Hunter Team спостерігала, як філії використовують два різні типи програм-вимагачів за дуже короткий проміжок часу, а в деяких випадках – під час однієї атаки.
Співпраця з ботнетами
За останні 12 місяців вторинні зараження, зазвичай через ботнети, стали одним із найпоширеніших способів доступу для груп ransomware. Троянські програми, які раніше використовувалися для фінансових махінацій, такі як Trickbot, останнім часом стали використовуватися в основному як канали розповсюдження інших шкідливих програм, насамперед програм-вимагачів.
У деяких випадках зловмисники вже контролюють бот-мережі, наприклад, група Miner (вона ж Wizard Spider), якій належить бот-мережа Trickbot. Trickbot розглядався як попередник атак Ryuk, які також приписуються Miner. Аналогічним чином, Hispid (вона ж Evil Corp) використовувала свій ботнет Dridex, який спочатку був створений для проведення фінансових атак, для доставки програм-вимагачів в організації.
З того часу інші суб’єкти намагалися повторити цю схему атаки, співпрацюючи з відомими операторами ботнетів. Найбільш помітним з них є використання IcedID, принаймні одним з афілійованих операторів програми-вимагача Conti.
Безпрецедентна загроза
Велика кількість груп, які здійснюють цільові атаки на програми-викупи, у поєднанні з розвитком ринку RaaS означає, що цільові програми-вимагачі становлять серйозну загрозу для організацій. Незважаючи на те, що в останні місяці банди, які займаються поширенням здирницького ПЗ, привернули значну увагу державних та правоохоронних органів, багатомільйонні виплати викупу означають, що більшість зловмисників не зупиняться.
Джерело: https://bit.ly/3bpnBoS
