Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует изменение ландшафта угроз по итогам первого полугодия 2020г. Ожидаемо фишинг под различные онлайн-сервисы вырос более чем вдвое во время пандемии коронавируса: на него пришлось 46% от общего числа фейковых веб-страниц. Со сцены фактически ушли лидеры прошлого полугодия – вирусы-шифровальщики, веерно распространяемые в почтовых рассылках, на них пришелся всего 1%. Зато каждое третье вредоносное письмо содержало программу-шпиона, цель установки которого – кража платежных данных или иной чувствительной информации с целью продажи в даркнете или шантажа.
Шпион, выйди вон
По данным Центра реагирования на инциденты кибербезопасности CERT-GIB, в первой половине 2020 вложения с программами-шпионами или ссылки, ведущие на их скачивание, содержались в 43% проанализированных Group-IB вредоносных писем. Еще 17% содержали загрузчики, третье место разделили бэкдоры и банковские трояны — они скрывались в 16% и 15% вредоносных рассылок, соответственно. Шифровальщики, которые в прошлом полугодии детектировались в каждой второй вредоносной рассылке, в первой половине этого года практически исчезли — на них приходится менее 1%.
Эта статистика подтверждает тренд, сформулированный в недавнем исследовании Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков»: операторы сместили фокус атак с индивидуальных пользователей на крупные корпоративные сети. Так, вместо того, чтобы шифровать компьютер отдельной жертвы после компрометации, атакующие используют зараженную машину для дальнейшего продвижения по сети, повышения привилегий в системе и распространения шифровальщика по максимально возможному числу хостов.
В Топ-10 инструментов, использовавшихся злоумышленниками в атаках, зафиксированных CERT-GIB за этот период, вошли троян RTM (30%); шпионское ПО LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%), и Azorult (1%); и бэкдоры Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%), и Netwire (1%). Среди новых инструментов, выявленных в первом полугодии, Quasar – ПО для удаленного управления на базе открытого исходного кода, Gomorrah — программа-шпион, извлекающая данные учетных записей пользователей из различных программ, и 404 Keylogger — ПО для сбора пользовательских данных, получившее широкое распространение в первом квартале 2020 года.
Почти 70% вредоносных файлов попадали на компьютер жертвы с помощью архивов, порядка 18% были замаскированы под офисные документы (с расширениями .doc, .xls и .pdf), еще 14% — под исполняемые файлы и скрипты.
Секьюрный фишинг
В первой половине 2020, CERT-GIB заблокировал 9 304 фишинговых ресурса, что на 9% выше, чем полугодием ранее. Главным трендом этого периода стало более чем двукратное увеличение числа ресурсов, использующих безопасное SSL/TLS соединение — их количество за полгода возросло с 33% до 69%. Это объясняется желанием злоумышленников удержать пул жертв — большинство популярных браузеров отмечают сайты без SSL/TLS соединения как по умолчанию небезопасные, что негативно сказывается на эффективности фишинговых кампаний. По прогнозам экспертов Group-IB, доля веб-фишинга с небезопасным соединением продолжит сокращаться, а сайты, не поддерживающие протоколы SSL/TLS, станут исключением.
Жизнь в онлайне
Как и во второй половине 2019 года, в текущем периоде лидером по количеству фишинговых страниц стали онлайн-сервисы. На фоне пандемии и перехода бизнеса в онлайн, их доля возросла до рекордных 46%. Привлекательность онлайн-сервисов обусловлена тем, что, похищая данные учетной записи пользователя, злоумышленники также могут получить доступ к данным банковской карты, привязанной к аккаунту. Чаще всего злоумышленники создают поддельные страницы, требующие обновления данных банковской карты для продолжения пользования сервисом, но в некоторых случаях, похищая данные учетной записи, они получают доступ и к данным самой карты.
Следом за онлайн-сервисами — почтовые агенты (24%), чья доля после спада в 2019 возобновила рост в 2020 году, и финансовые организации (11%). В топ целевых категорий по веб-фишингу также вошли платежные сервисы, облачные хранилища, социальные сети, и сайты знакомств.
Согласно результатам работ по обнаружению и нейтрализации угроз CERT-GIB, лидерство в топе доменных зон по регистрации фишинга уверенно держит зона .com, согласно на нее приходится почти половина проанализированных за отчетный период фишинговых ресурсов — 44%. За ней следуют доменные зоны .ru (9%), .br (6%), .net (3%) и .org (2%).
«Год начался с изменений в топе актуальных угроз, распространяющихся с помощью вредоносных рассылок, — комментирует заместитель руководителя CERT-GIB Ярослав Каргалев. — Операторы шифровальщиков сфокусировались на целевых атаках, выбирая себе крупные жертвы, и требуя от них значительно большие суммы. Точечная проработка таких атак снизила их объем в антирейтинге угроз, а на их место пришли программы-шпионы и бэкдоры, с помощью которых злоумышленники сначала похищают чувствительную информацию, а затем шантажируют жертву, требуя выкуп, и, в случае отказа, продают ее на хакерских форумах или выставляют в паблик. Вероятнее всего, стремление операторов шифровальщиков сорвать большой куш постепенно приведет к росту таргетированных атак, при этом почта по-прежнему будет главным источником их распространения, что повышает требования к обеспечению ее кибербезопасности».
Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — один из первых частных CERT в Восточной Европе, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Hunting Intelligence и других.
CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. В октябре 2019 года был поставлен рекорд быстродействия регистраторов по блокировке вредоносных ресурсов — максимум 5 часов. Это самый минимальный показатель за всю историю блокировки в доменной зоне РУ.
Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer, членом Организации исламского сотрудничества (OIC-CERT) и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.