Group-IB составил топ угроз вредоносных рассылок первого полугодия 2020

Group-IB фиксирует изменение ландшафта угроз по итогам первого полугодия 2020г. Ожидаемо фишинг под различные онлайн-сервисы вырос более чем вдвое во время пандемии коронавируса: на него пришлось 46% от общего числа фейковых веб-страниц. Со сцены фактически ушли лидеры прошлого полугодия – вирусы-шифровальщики, веерно распространяемые в почтовых рассылках, на них пришелся всего 1%. Зато каждое третье вредоносное письмо содержало программу-шпиона, цель установки которого – кража платежных данных или иной чувствительной информации с целью продажи в даркнете или шантажа.

Шпион, выйди вон

По данным Центра реагирования на инциденты кибербезопасности CERT-GIB, в первой половине 2020 вложения с программами-шпионами или ссылки, ведущие на их скачивание, содержались в 43% проанализированных Group-IB вредоносных писем. Еще 17% содержали загрузчики, третье место разделили бэкдоры и банковские трояны — они скрывались в 16% и 15% вредоносных рассылок, соответственно. Шифровальщики, которые в прошлом полугодии детектировались в каждой второй вредоносной рассылке, в первой половине этого года практически исчезли — на них приходится менее 1%. 

Эта статистика подтверждает тренд, сформулированный в недавнем исследовании Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков»: операторы сместили фокус атак с индивидуальных пользователей на крупные корпоративные сети. Так, вместо того, чтобы шифровать компьютер отдельной жертвы после компрометации, атакующие используют зараженную машину для дальнейшего продвижения по сети, повышения привилегий в системе и распространения шифровальщика по максимально возможному числу хостов. 

В Топ-10 инструментов, использовавшихся злоумышленниками в атаках, зафиксированных CERT-GIB за этот период, вошли троян RTM (30%); шпионское ПО LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%), и Azorult (1%); и бэкдоры Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%), и Netwire (1%).  Среди новых инструментов, выявленных в первом полугодии, Quasar – ПО для удаленного управления на базе открытого исходного кода, Gomorrah — программа-шпион, извлекающая данные учетных записей пользователей из различных программ, и 404 Keylogger — ПО для сбора пользовательских данных, получившее широкое распространение в первом квартале 2020 года.

Почти 70% вредоносных файлов попадали на компьютер жертвы с помощью архивов, порядка 18% были замаскированы под офисные документы (с расширениями .doc, .xls и .pdf), еще 14% — под исполняемые файлы и скрипты.

Секьюрный фишинг

В первой половине 2020, CERT-GIB заблокировал 9 304 фишинговых ресурса, что на 9% выше, чем полугодием ранее. Главным трендом этого периода стало более чем двукратное увеличение числа ресурсов, использующих безопасное SSL/TLS соединение — их количество за полгода возросло с 33% до 69%. Это объясняется желанием злоумышленников удержать пул жертв — большинство популярных браузеров отмечают сайты без SSL/TLS соединения как по умолчанию небезопасные, что негативно сказывается на эффективности фишинговых кампаний. По прогнозам экспертов Group-IB, доля веб-фишинга с небезопасным соединением продолжит сокращаться, а сайты, не поддерживающие протоколы SSL/TLS, станут исключением. 

Жизнь в онлайне

Как и во второй половине 2019 года, в текущем периоде лидером по количеству фишинговых страниц стали онлайн-сервисы. На фоне пандемии и перехода бизнеса в онлайн, их доля возросла до рекордных 46%. Привлекательность онлайн-сервисов обусловлена тем, что, похищая данные учетной записи пользователя, злоумышленники также могут получить доступ к данным банковской карты, привязанной к аккаунту. Чаще всего злоумышленники создают поддельные страницы, требующие обновления данных банковской карты для продолжения пользования сервисом, но в некоторых случаях, похищая данные учетной записи, они получают доступ и к данным самой карты. 

Следом за онлайн-сервисами — почтовые агенты (24%), чья доля после спада в 2019 возобновила рост в 2020 году, и финансовые организации (11%). В топ целевых категорий по веб-фишингу также вошли платежные сервисы, облачные хранилища, социальные сети, и сайты знакомств. 

Согласно результатам работ по обнаружению и нейтрализации угроз CERT-GIB, лидерство в топе доменных зон по регистрации фишинга уверенно держит зона .com, согласно на нее приходится почти половина проанализированных за отчетный период фишинговых ресурсов — 44%. За ней следуют доменные зоны .ru (9%), .br (6%), .net (3%) и .org (2%).

 «Год начался с изменений в топе актуальных угроз, распространяющихся с помощью вредоносных рассылок, — комментирует заместитель руководителя CERT-GIB Ярослав Каргалев.  — Операторы шифровальщиков сфокусировались на целевых атаках, выбирая себе крупные жертвы, и требуя от них значительно большие суммы. Точечная проработка таких атак снизила их объем в антирейтинге угроз, а на их место пришли программы-шпионы и бэкдоры, с помощью которых злоумышленники сначала похищают чувствительную информацию, а затем шантажируют жертву, требуя выкуп, и, в случае отказа, продают ее на хакерских форумах или выставляют в паблик. Вероятнее всего, стремление операторов шифровальщиков сорвать большой куш постепенно приведет к росту таргетированных атак, при этом почта по-прежнему будет главным источником их распространения, что повышает требования к обеспечению ее кибербезопасности».

Источник: пресс-релиз компании