Количество атак вирусов-шифровальщиков в 2019 году по сравнению с предыдущим годом возросло на 40%, в то время как размер среднего требуемого выкупа взлетел в разы, говорится в опубликованном исследовании Group-IB.
В числе жертв — муниципалитеты, корпорации, медицинские учреждения. Увеличился и средний размер требуемого выкупа — с $8 тысяч в 2018 году до $84 тысяч в прошлом году. По данным Group-IB, самыми агрессивными и жадными шифровальщиками в прошлом году были семейства Ryuk, DoppelPaymer и REvil — их единовременные требования о выкупе достигали $800 тысяч.
В прошлом году кибермошенники взяли на вооружение некоторые тактики, техники и процедуры, характерные для APT-групп. Так, одним из заимствованных приемов стала выгрузка важных для жертвы данных перед их шифрованием. APT-группы используют эту технику для шпионажа, но операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить деньги. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете.
Злоумышленники часто стали использовать банковские трояны на этапе первичной компрометации сети, а также инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам, как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.
В целом, как отмечают эксперты, в прошлом году операторы вымогателей вышли на новый уровень — их действия больше не ограничивались лишь шифрованием файлов. Вирусописатели начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вирусы "в аренду" в обмен на часть выкупа.
Фишинговые письма остались одним из наиболее распространенных векторов первичной компрометации, чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое среди прочего загружало один из троянов (FlawedAmmyy RAT или SDBBot).
В прошлом году количество доступных серверов с открытым портом 3389 превысило 3 миллиона, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти новых уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.
В 2019 году атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплоитов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.
Некоторые злоумышленники сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.
Несмотря на возросший масштаб кампаний шифровальщиков, им можно противостоять, реализуя необходимые меры предосторожности. Они в числе прочего включают подключение к серверам по RDP только с использованием VPN, создание сложных паролей для учетных записей, использующихся для доступа по RDP, и их регулярную смену, ограничение списка IP-адресов, с которых могут быть инициированы внешние RDP-соединения и др.