Регистрация / Вход
текстовая версия
ВОЙНА и МИР

 Сюжет дня

Суд Германии отклонил иски против транспортировки газа через "Северный поток-2"
Еврокомиссия отказалась обжаловать решение суда по газопроводу OPAL
Главная страница » Репортажи » Просмотр
Версия для печати
Вирусы-шифровальщики - в половине вирусных почтовых рассылок
19.11.19 17:38 В России

Больше половины всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на вирусы-шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh, сообщают специалисты по кибербезопасности из Group-IB. Чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией, более 80% всех вредоносных файлов для маскировки доставлялись в архивах zip и rar.

Согласно исследованию CERT-GIB, по данным за первое полугодие 2019 года в 60 странах мира основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта. Во второй половине 2018 года доля загрузок вредоносных программ с помощью веб-браузера сократилась до самого минимума и составляла не более 5%, а в первой половине 2019 года только каждая 19-я загрузка не была связана с почтовой рассылкой.

В первой половине 2019 года наблюдается десятикратный рост использования запароленных объектов — документов или архивов. В 2017 году на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 году их количество выросло до 3,6%. В первой половине 2019 года наблюдается аномальный рост до 27,8%.

Другой тенденцией стала маскировка вредоносного программного обеспечения (ВПО) в письме. Для того, чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых 6 месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном, для этого использовались форматы zip (32% и rar 25%) Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018-й на ссылки приходилось вдвое меньше ВПО.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

"Современные киберпреступники обладают инструментами, позволяющими убедиться, что рассылаемый вредоносный экземпляр не детектируется популярными антивирусными средствами, — отмечает Александр Калинин, руководитель Центра реагирования на инциденты кибербезопасности CERT-GIB. — Отметим, что схемы с вложенными или запароленными архивами, отложенной активацией и тд. оказываются оперативно обнаруженными только в случае использования продвинутых систем раннего предотвращения кибератак, а вместе со сложным поведенческим анализом позволяют успешно детектировать ранее неизвестные экземпляры ВПО. Получив информацию из нашего исследования, SOC (Security Operation Center) и CERT могут проверить, закрывают ли они перечисленные угрозы или нет: поскольку если они не проверили ссылку, которую получил пользователь, они могут пропустить угрозу, от которой в конечном итоге пострадают их клиенты".

Финасисты в группе риска

Для того чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова "Платеж", "Приглашение", "Скан", "Акт", то в этом году чаще всего используют "Документы", "Заказ", "Ордер" или "Пароль".

В атаках на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и тд. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносный аттач.

Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который в свою очередь, представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска – специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

Если в 2018 году угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 года существенно ухудшилась ситуация с шифровальщиками: они вновь уверенно вернулись на первое место (54%).

В топ-3 самых массовых атак вошли следующие вредоносные программы: Troldesh (53%), RTM (17%), Pony (6%).

Troldesh – самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы).

На втором месте — банковский троян RTM, написанный одноимённой хакерской группировкой. Появившись в 2016 году RTM привлек особое внимание тем, что получение списка управляющих серверов происходило при обращении к странице профиля на площадке Livejournal. После анализа было установлено, что RTM нацелен на хищение денежных средств через ДБО российских банков.

Используя различные схемы распространения, RTM на какое-то время пропал из виду и в середине 2018 года снова заявил о себе, распространяясь через сеть поддельных бухгалтерских сайтов. Далее на протяжении всего отчетного периода использовался в различных атаках на финансовые учреждения и предприятия. С начала 2019 года количество вредоносных рассылок с RTM держится на стабильно высоком уровне.

 

English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» Революция идиотов 1789
» "Мнения о заграницах": логика привода к общему знаменателю
» Что нужно знать о первичном размещении акций арабо-американской нефтяной компании (IPO Saudi Aramco)
» Почему мотор китайской экономики скоро заглохнет?
» Турция достигла рекордного уровня импорта СПГ за 1 полугодие 2019
» Авторитаризм в Великобритании: попытка Джонсона уничтожить демократию
» Каково же современное лицо армии США?
» Отчёт на 7-е июля 2019 года

 Новостивсе статьи rss

» У Турции большие планы на кипрский шельф
» Россия станет одним из лидеров мировой водородной энергетики
» Орешкин рассказал об итогах переговоров Путина и Лукашенко
» Американцы создают цифровой «Манхэттенский проект»
» СНБО Украины согласовал сценарий реинтеграции Донбасса
» США обвинили российские ПВО в атаке на свой беспилотник
» Спортсмены из РФ выступят на ОИ-2020 как команда Олимпийского комитета России
» Россия и Турция работают над новым контрактом на поставку С-400

 Репортаживсе статьи rss

» Героем себя не считает: RT пообщался с солдатом, в одиночку преградившим в 2008 году дорогу колонне грузинских войск
» Сбросились на IPO: РФ и другие "инвестировали" в Saudi Aramco свою нефтедобычу
» Из двух зол: атомная энергетика получила поддержку «зеленых»
» Саммит НАТО закончился скандалом: Макрон, Джонсон и Трюдо посмеялись над Трампом
» Пенсионеры-стартаперы открывают кафе и фестивали
» Из чего состоит радиолокационное кольцо России
» «Северный поток – 2» решили остановить делом «немецкого Скрипаля»?
» «Россия должна быть самой либеральной страной»: Петр Авен об ошибках 90-х, аполитичном бизнесе и коррупции

 Комментариивсе статьи rss

» «Отсутствие вмешательства»: эксперты опровергли выводы WADA о манипуляциях России с данными московской лаборатории
» НАТО не может без скандалов, или Почему Трамп в бешенстве
» Немецкие ученые: Россия остановит украинский транзит газа - ЕС не замерзнет
» Кому выгодна антироссийская истерия из-за убийства чеченского боевика в Германии
» Базовый лагерь русских шпионов, специализирующихся на целевых убийствах, в Верхней Савойе
» Чем обернулась для мира энергетическая независимость Америки
» Грета Тунберг снимает экологическую маску
» «Противостоять надуманной угрозе»: как НАТО наращивает киберактивность у российских границ

 Аналитикавсе статьи rss

» Будет ли СНВ-4? Стратегическое разоружение стало заложником выборов в США
» Новая золотая лихорадка: что стоит за возвращением золота из США и Великобритании?
» Бомба замедленного действия: США взрастили корпоративный пузырь небывалых масштабов
» За счет чего растет российская промышленность в 2019 году
» В китайском долговом пузыре нашлось первое слабое звено
» Партия «газовой войны» готовится к выходу на сцену?
» Кто и как сократит американское военное присутствие в Афганистане
» Армия США : нападение на Россию, Китай, или Иран обернется неприятным сюрпризом
 
текстовая версия Сайт основан Натальей Лаваль в 2006 году © 2006-2019 Inca Group "War and Peace"