Эксперты «Лаборатории Касперского» выпустили отчет о новых тенденциях среди вымогателей в 2022 году. Исследователи наблюдают тенденцию развития кросс-платформенных вымогателей, отмечают, что хак-группы продолжают развиваться и все больше походят на обычный бизнес, а также активно реагируют на геополитические события и ситуацию на территории Украины.
Первым трендом эксперты называют активное использование хакерами кросс-платформенных возможностей. Целями злоумышленников становятся все более сложные инфраструктуры, которые могут объединять самые разные системы. Чтобы нанести максимальный ущерб и сделать восстановление практически невозможным, малварь должна уметь атаковать различные архитектуры и шифровать данные в разных операционных системах. Добиться этого злоумышленникам позволяет использование кроссплатформенных языков программирования, таких как Rust или Golang. Также этот подход помогает использовать уже написанное на других платформах.
К примеру, группировка BlackCat с декабря 2021 года атаковала более 60 организаций с помощью вредоносного ПО нового поколения, написанного на Rust. В свою очередь в программах-вымогателях DeadBolt, группы, известной атаками на компанию Qnap, использовался Golang. Conti, одна из самых активных групп вымогателей, разработала вариант, нацеленный на Linux, однако использовать его могли только избранные партнеры злоумышленников.
Вторая трендом было названо становление масштабных экосистем. В конце 2021 — начале 2022 года хак-группы продолжали развивать инструменты и тактики для себя и своих клиентов, а также облегчать бизнес-процессы. Например, некоторые улучшали инструменты эксфильтрации данных (в данном случае для их кражи) или незначительно меняли код — такой ребрендинг позволяет отвлечь внимание властей и исследователей.
Весьма примечательным примером эволюции вымогателей специалисты называют группу Lockbit. В последние месяцы она наладила регулярные обновления своей инфраструктуры, создала «страницы ожидания», с которых пользователи перенаправляются на доступные зеркала, а также представила StealBIT — специальный инструмент для эксфильтрации, который позволяет красть данные с самой высокой скоростью. Развитие получил и инструмент для эксфильтрации Fendr (или Exmatter ), который используется в некоторых атаках BlackMatter, Conti и BlackCat.
Еще одна интересная тенденция: реакция хакеров на геополитические события. Из-за ситуации на территории Украины на специализированных форумах возникла значительная активность. Вскоре после начала конфликта некоторые группы вымогателей начали активно поддерживать одну из сторон. В результате среди хакеров произошел раскол, а также стали проводиться атаки в поддержку России или Украины.
Например, одним из недавно обнаруженных вредоносов стал Freeud — разработанный проукраинскими сторонниками вайпер. Свою позицию также продемонстрировала кибегруппа Stormous.
«Активность программ-шифровальщиков, которую мы наблюдали в прошлом году, продолжила развиваться и в этом. Есть все основания предполагать, что в будущем эта тенденция сохранится. Сегодня это выражается не в увеличении количества атак, а в их усложнении. В 2021 году некоторые группы были вынуждены приостановить свою деятельность, однако сегодня на их место уже пришли новые действующие лица с более продвинутыми технологиями», — говорит Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».
Интересно, что по данным Group-IB, после 24 февраля 2022 года в России наблюдается трехкратный рост атак программ-вымогателей. Например, вскоре после начала «спецоперации» группировку Conti начали подозревать в связях с Россией (особенно после ее заявлений о поддержке правительства страны).
«После этого партнер, работавший с территории Украины, выложил сведения о личностях участников Conti, а также исходный код программы-вымогателя в публичный доступ, что позволило хактивистам использовать это семейство программ против организаций в России»,— рассказывает руководитель лаборатории цифровой криминалистики Group-IB Олег Скулкин.