МОСКВА, 18 сен — ПРАЙМ. Злоумышленники в первом полугодии 2020 года чаще всего в кибератаках использовали фишинг, через него распространялись программы-шпионы, программы для загрузки вредоносного ПО и банковские трояны, говорится в исследовании международной компании Group-IB, специализирующейся на предотвращении кибератак.
"Ожидаемо фишинг под различные онлайн-сервисы вырос более чем вдвое во время пандемии коронавируса: на него пришлось 46% от общего числа фейковых веб-страниц … В первой половине 2020 вложения с программами-шпионами или ссылки, ведущие на их скачивание, содержались в 43% проанализированных Group-IB вредоносных писем. Еще 17% содержали загрузчики, третье место разделили бэкдоры (открывают удаленный доступ к компьютерам жертв — ред.) и банковские трояны — они скрывались в 16% и 15% вредоносных рассылок, соответственно", — говорится в сообщении.
При этом программы-шифровальщики, которые в прошлом полугодии были в каждой второй вредоносной рассылке, практически исчезли — на них приходится менее 1%. "Вместо того, чтобы шифровать компьютер отдельной жертвы после компрометации, атакующие используют зараженную машину для дальнейшего продвижения по сети, повышения привилегий в системе и распространения шифровальщика по максимально возможному числу хостов", — отмечают эксперты.
В топ-10 инструментов, использовавшихся злоумышленниками в атаках за этот период, вошли троян RTM (30%), шпионское ПО LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%), и Azorult (1%), а также бэкдоры Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%), и Netwire (1%). Среди новых инструментов, выявленных в первом полугодии, было ПО для удаленного управления ПК Quasar, программа-шпион, извлекающая данные учетных записей пользователей из различных программ, Gomorrah, а также ПО для сбора пользовательских данных 404 Keylogger.
Почти 70% вредоносных файлов попадали на компьютер жертвы с помощью архивов, порядка 18% были замаскированы под офисные документы (с расширениями.doc,.xls и.pdf), еще 14% — под исполняемые файлы и скрипты.
"Операторы шифровальщиков сфокусировались на целевых атаках, выбирая себе крупные жертвы, и требуя от них значительно большие суммы. Точечная проработка таких атак снизила их объем в антирейтинге угроз, а на их место пришли программы-шпионы и бэкдоры, с помощью которых злоумышленники сначала похищают чувствительную информацию, а затем шантажируют жертву, требуя выкуп, и, в случае отказа, продают ее на хакерских форумах или выставляют в паблик. Вероятнее всего, стремление операторов шифровальщиков сорвать большой куш постепенно приведет к росту таргетированных атак, при этом почта по-прежнему будет главным источником их распространения, что повышает требования к обеспечению ее кибербезопасности", — прокомментировал заместитель руководителя CERT-GIB Ярослав Каргалев.