Специалисты компании Group-IB опубликовали исследование, посвященное новейшим методам атак шифровальщиков. Эксперты рассказывают, что по сравнению с предыдущим периодом в 2019 атаки вымогателей возросли на 40%, а размер среднего требуемого выкупа и вовсе увеличился в разы. Всего за один год средний размер выкупа вырос с 6 000 до 84 000 долларов. При этом истории, мелькавшие в заголовках СМИ, тоже стали гораздо драматичнее. Например, операторы вымогателя Ryuk сумели заставить два города во Флориде заплатить в совокупности 1 000 000 долларов. Эта же группа атаковала город Нью-Бедфорд, штат Массачусетс, потребовав выкуп в размере 5 300 000 долларов. Когда кородские власти смогли предложить злоумышленникам лишь 400 000 долларов, хакеры от выплаты отказались.
Повышение ставок
По данным Лаборатории компьютерной криминалистики Group-IB, самыми «жадными» шифровальщиками 2019 года стали семейства Ryuk, DoppelPaymer и REvil: их единовременные требования о выкупе достигали 800 000 долларов.
Например, операторы REvil смогли успешно осуществить атаку на цепочку поставок, скомпрометировав итальянскую версию сайта WinRar. Они же успешно атаковали сетевые инфраструктуры 22 муниципалитетов Техаса через компрометацию обслуживающей их ИТ-компании
Специалисты считают, что поскольку тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы, а их цели сместились в корпоративный сектор, 2020 год может установить антирекорд по количеству атак и размеру ущерба.
Дело в том, что одной из наиболее примечательных тенденций 2019 года стало то, что многие операторы шифровальщиков начали выгружать большие объемы конфиденциальных данных из атакованных корпоративных сетей. Подобные действия, по их мнению, существенно повышают шансы на получение выкупа.
Так, если требования хакеров не были выполнены, они оставляют за собой возможность заработать, продав конфиденциальную информацию в даркнете или попросту слить ее открытый доступ. Таким методом пользовались операторы семейств REvil, Maze, DoppelPaymer и многие другие.
Еще одной распространенно практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети: в 2019 году экспертами Group-IB было зафиксировано использование большого числа троянов в кампаниях шифровальщиков, в том числе троянов Dridex, Emotet, SDBBot и Trickbot.
В 2019 году большинство операторов шифровальщиков стали использовать инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.
В целом, как отмечают эксперты, в прошлом году операторы вымогателей вышли на новый уровень — их действия больше не ограничивались лишь шифрованием файлов. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать своих вымогателей «в аренду» в обмен на часть выкупа.
Первичный вектор атак
В 2019 году в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.
Так, по сравнению с 2018 годом количество доступных серверов с открытым портом 3389, только увеличилось. В пятерке лидеров по их эксплуатации в 2019 году оказались Китай, США, Германия, Бразилия и Россия. Рост числа атак на RDP в значительной степени объясняется обнаружением новых уязвимостей: CVE-2019-0708 (BlueKeep), CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 и CVE-2019-1226
Фишинговые письма тоже остаются одним из наиболее распространенных векторов первичной компрометации, и чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое, среди прочего, загружало один из троянов (FlawedAmmyy RAT или SDBBot).
В прошлом году количество доступных серверов с открытым портом 3389 превысило 3 000 000, большинство из них были расположены в Бразилии, Германии, Китае, России и США.
Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти новых уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.
В 2019 году атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплоитов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.
Некоторые злоумышленники, в том числе операторы шифровальщиков Shade (Troldesh) и STOP, сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие, в том числе операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma, не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.
Полный список тактик, техник и процедур, упомянутых в отчете, приведен в таблице ниже, которая построена на базе матрицы MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Они расположены в порядке от самых популярных (выделены красным) до наименее популярных (выделены зеленым).
«В 2019 году операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели и увеличивая свои доходы, и есть все основания полагать, что в этом году их результаты будут еще более впечатляющими. Операторы вымогателей продолжат расширять пул своих жертв, фокусируясь на крупных индустриях, у которых больше ресурсов, чтобы удовлетворить их аппетиты. Возросшая активность шифровальщиков ставит бизнес перед выбором: либо инвестировать средства в свою кибербезопасность, чтобы сделать свою инфраструктуру недосягаемой для злоумышленников, либо рискнуть столкнуться с требованием выкупа для дешифровки файлов и поплатиться за изъяны в кибербезопасности», — резюмирует ведущий специалист Лаборатории компьютерной криминалистики Group-IB Олег Скулкин.
Также в отчете отмечается, что из-за массового перехода сотрудников на удаленную работу во время пандемии COVID-19 злоумышленники выявляют все больше новых точек компрометации и уязвимостей. Использование общедоступных приложений и заражение персональных устройств сотрудников станут наиболее популярными способами получения доступа к внутренним сетям, считают эксперты.