Более 50% рассылок вредоносного ПО в первой половине 2019 г. пришлась на вирусы-шифровальщики. Излюбленным инструментом хакеров оказался шифровальщик Troldesh. Об этом говорится в исследовании Центра реагирования на инциденты кибербезопасности CERT Group-IB, подготовленном к SOC-Forum 2019 и основанном на данных системы Threat Detection System (TDS) Polygon в рамках предотвращения и обнаружения угроз, распространяющихся в сети в 60 странах мира.
«Troldesh – самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы», – рассказали эксперты компании.
Основным способом доставки вредоносов (шифровальщиков, банковских троянов, бэкдоров) по-прежнему остается электронная почта. Специалисты указывают, что для обхода корпоративных средств защиты злоумышленники чаще прежнего прибегают к архивации вредоносных вложений, а чтобы обойти антивирусные системы, отправляют вредоносные ссылки в нерабочее время с отложенной активацией. Для того, чтобы адресат открыл письмо или распаковал архив, киберпреступники прибегают к социальной инженерии.
«На протяжении первых шести месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном для этого использовались форматы zip (32%) и rar 25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива либо в ходе дальнейшей переписки с жертвой», – говорится в документе.
Хакеры также чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% – на вложения (за весь прошлый год на ссылки приходилось вдвое меньше вредоносного ПО). В первой половине этого года наблюдается десятикратный рост использования запароленных объектов – документов или архивов: в 2017 году на защищённые паролем архивы приходилось лишь 0,08% от общего количества вредоносных объектов, в прошлом году – 3,6%, а в первой половине текущего – 27,8%.
В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названий слова «платёж», «приглашение», «скан», то в 2019 году чаще всего используют «документы», «заказ» или «пароль». В атаках же на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и так далее.