Ко Дню защиты от программ-вымогателей эксперты «Лаборатории Касперского» выпустили отчёт о новых тенденциях в этой сфере в 2022 году.
Активное использование кросс-платформенных возможностей
Целями злоумышленников становятся всё более сложные инфраструктуры, которые могут объединять самые разные системы. Чтобы нанести максимальный ущерб и сделать восстановление практически невозможным, зловреды должны уметь атаковать различные архитектуры и шифровать данные в разных операционных системах. Добиться этого злоумышленникам позволяет использование кроссплатформенных языков программирования, таких как Rust или Golang. Также этот подход помогает использовать уже написанное на других платформах. Так, кибергруппа BlackCat с декабря 2021 года атаковала более 60 организаций с помощью вредоносного ПО нового поколения, написанного на Rust. В программах-вымогателях DeadBolt, группы, известной атаками на компанию QNAP, использовался Golang. Conti, одна из самых активных групп среди вымогателей, разработала вариант, нацеленный на Linux, однако использовать его могли только избранные партнёры.
Становление масштабных экосистем
Кроме того, в конце 2021 — начале 2022 года группы программ-вымогателей продолжали развивать инструменты и тактики для себя и своих клиентов, а также облегчать бизнес-процессы. Например, некоторые улучшали инструменты эксфильтрации данных (в данном случае для их кражи) или незначительно меняли код — такой ребрендинг позволяет отвлечь внимание властей и исследователей. Весьма примечательный пример эволюции вымогателей — группа Lockbit. В последние месяцы она наладила регулярные обновления своей инфраструктуры, создала «страницы ожидания», с которых пользователи перенаправляются на доступные зеркала, а также представила StealBIT — специальный инструмент для эксфильтрации, который позволяет красть данные с самой высокой скоростью. Развитие получил и инструмент для эксфильтрации Fendr (или Exmatter), который используется в некоторых атаках BlackMatter, Conti и BlackCat.
Реакция на геополитические события
Геополитическая ситуация сильно повлияла на деятельность программ-вымогателей. Из-за ситуации на территории Украины на специализированных форумах возникла значительная активность. Вскоре после начала конфликта некоторые группы вымогателей начали активно поддерживать одну из сторон. В результате в них произошёл раскол, а также стали проводиться атаки в поддержку России или Украины. Одним из недавно обнаруженных зловредов стал Freeud — разработанный проукраинскими сторонниками вайпер. Свою позицию также продемонстрировала кибегруппа Stormous.
«Активность программ-шифровальщиков, которую мы наблюдали в прошлом году, продолжила развиваться и в этом. Есть все основания предполагать, что в будущем эта тенденция сохранится. Сегодня это выражается не в увеличении количества атак, а в их усложнении. В 2021 году некоторые группы были вынуждены приостановить свою деятельность, однако сегодня на их место уже пришли новые действующие лица с более продвинутыми технологиями», — прокомментировал Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».
В День защиты от программ-вымогателей «Лаборатория Касперского» рекомендует компаниям:
- обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не проникли в сеть, используя уязвимости;
- анализировать исходящий трафик, чтобы обнаружить подключения злоумышленников, настроить автономные резервные копии;
- включить защиту от программ-вымогателей для всех устройств;
- установить решения для защиты от сложных атак и EDR, обеспечивающие расширенные возможности обнаружения угроз, расследования и своевременного устранения инцидентов;
- обеспечить команду SOC доступом к актуальной информации об угрозах и регулярно повышать их квалификацию с помощью профессиональных тренингов.