Количество атак вирусов-шифровальщиков в 2019 году по сравнению с предыдущим годом возросло на 40%, в то время как размер среднего требуемого выкупа взлетел в разы, говорится в опубликованном исследовании Group-IB «Программы-вымогатели:новейшие методы атак шифровальщиков». По данным Лаборатории компьютерной криминалистики Group-IB, самыми «жадными» шифровальщиками стали семейства Ryuk, DoppelPaymer и REvil. Поскольку тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы, а их цели сместились в корпоративный сектор, 2020 год может установить антирекорд по количеству атак и размеру ущерба.

После сравнительного затишья в 2018-м году, в 2019-м году вирусы-шифровальщики попытались взять реванш: количество атак с использованием вымогателей возросло на 40%. Жертвами оказывались крупные цели — муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа резко взлетел с $8 000 в 2018-м до $84 000 в прошлом году. По данным Group-IB, cамыми агрессивными и жадными шифровальщиками в прошлом году были семейства Ryuk, DoppelPaymer и REvil — их единовременные требования о выкупе достигали $800 000.

В 2019-м году операторы шифровальщиков стали использовать некоторые тактики, техники и процедуры (TTPs), характерные для APT-групп. Одним из заимствованных приемов, стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете. Таким методом пользовались операторы семейств REvil, Maze и DoppelPaymer.

Частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети: в 2019 году экспертами Group-IB было зафиксировано использование большого числа троянов в кампаниях шифровальщиков, в том числе троянов Dridex, Emotet, SDBBot и Trickbot.

В 2019-м году большинство операторов шифровальщиков стали использовать инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.

В целом, как отмечают эксперты, в прошлом году операторы вымогателей вышли на новый уровень — их действия больше не ограничивались лишь шифрованием файлов. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа.

В 2019-м году в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

Фишинговые письма остались одним из наиболее распространенных векторов первичной компрометации, чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое, среди прочего, загружало один из троянов (FlawedAmmyy RAT или SDBBot).

В прошлом году количество доступных серверов с открытым портом 3389 превысило 3 миллиона, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти новых уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.

В 2019-м году атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплоитов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.

Некоторые злоумышленники, в том числе операторы шифровальщиков Shade (Troldesh) и STOP, сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие, в том числе операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma, не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.

Полный список тактик, техник и процедур, упомянутых в отчете приведен в таблице ниже, которая построена на основе матрицы MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Они расположены в порядке от самых популярных (выделены красным) до наименее популярных (выделены зеленым).

«В 2019-м году операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели и увеличивая свои доходы, и есть все основания полагать, что в этом году их результаты будут еще более впечатляющими, — прокомментировал Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — Операторы вымогателей продолжат расширять пул своих жертв, фокусируясь на крупных индустриях, у которых больше ресурсов, чтобы удовлетворить их аппетиты. Возросшая активность шифровальщиков ставит бизнес перед выбором: либо инвестировать средства в свою кибербезопасность, чтобы сделать свою инфраструктуру недосягаемой для злоумышленников, либо рискнуть столкнуться с требованием выкупа для дешифровки файлов и поплатиться за изъяны в кибербезопасности».

Несмотря на возросший масштаб кампаний шифровальщиков, им можно противостоять, реализуя необходимые меры предосторожности. Они в числе прочего включают подключение к серверам по RDP только с использованием VPN, создание сложных паролей для учетных записей, использующихся для доступа по RDP, и их регулярную смену, ограничение списка IP-адресов, с которых могут быть инициированы внешние RDP-соединения и др.