МОСКВА, 19 ноя — ПРАЙМ. Более половины рассылок вредоносного программного обеспечения (ПО) в первой половине текущего года пришлась на вирусы-шифровальщики, а самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh, об этом говорится в исследовании Центра реагирования на инциденты кибербезопасности CERT Group-IB, подготовленном к SOC-Forum 2019 и основанном на данных системы Threat Detection System (TDS) Polygon в рамках предотвращения и обнаружения угроз, распространяющихся в сети в 60 странах мира.
"Troldesh – самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы", — указывают эксперты компании.
Основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта. Эксперты указывают, что для обхода корпоративных средств защиты злоумышленники все чаще прибегают к архивации вредоносных вложений, а чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией. Для того же чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии.
"На протяжении первых шести месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном для этого использовались форматы zip (32%) и rar 25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива либо в ходе дальнейшей переписки с жертвой", — говорится в документе.
Злоумышленники также все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения (за весь 2018 год на ссылки приходилось вдвое меньше вредоносного ПО). В первой половине 2019 года наблюдается десятикратный рост использования запароленных объектов — документов или архивов: в 2017 году на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов, в 2018 году — 3,6%, а в первой половине 2019 года — 27,8%.
В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова "платеж", "приглашение", "скан", "акт", то в этом году чаще всего используют "документы", "заказ", "ордер" или "пароль". В атаках же на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и так далее.
