В среду компания Positive Technologies опубликовала отчет, в котором указывается, что атаки программ-вымогателей достигли «стратосферного уровня». эволюция стратегий атак вместе с ростом числа вредоносных программ, созданных для нацеленных на системы на базе Unix. Существует много разных версий Unix, и у них есть общие черты. Самыми популярными разновидностями являются Sun Solaris, GNU / Linux и Mac OS X.
Согласно отчету, атаки программ-вымогателей составляют 69% всех атак, связанных с вредоносным ПО. Это один из самых тревожных открытий. Исследование также показывает, что количество атак на правительственные учреждения резко возросло в 2021 году с 12 процентов в первом квартале до 20 процентов во втором квартале.
Центр экспертной безопасности Positive Technologies, специализирующийся на анализе угроз, в течение квартала обнаружил появление B-JDUN, нового троянца удаленного доступа или RAT, используемого в атаках на энергетические компании. Исследователи также обнаружили Tomiris, новую вредоносную программу, которая поставляется с функциями для обеспечения устойчивости и может отправлять зашифрованную информацию о рабочей станции на сервер, контролируемый злоумышленником.
Исследование показало, что общее количество атак по сравнению с предыдущим кварталом незначительно выросло на 0,3%. Это замедление было ожидаемым, поскольку компании приняли более активные меры для защиты периметра сети и систем удаленного доступа во время глобальной пандемии и роста рассредоточенной рабочей силы.
Однако, как предупреждают исследователи, рост числа атак с использованием программ-вымогателей — 45% только за апрель — должен вызывать серьезную озабоченность. Исследователи также отмечают рост числа вредоносных программ, специально разработанных для проникновения в системы Unix.
«Мы привыкли к мысли, что злоумышленники, распространяющие вредоносное ПО, представляют опасность для систем на базе Windows», — сказала Яна Юракова, аналитик по информационной безопасности компании Positive Technologies. «Сейчас мы наблюдаем более сильную тенденцию использования вредоносных программ для атак на системы Unix, инструменты виртуализации и оркестраторы. Все больше и больше компаний, включая крупные корпорации, теперь используют программное обеспечение на базе Unix, и именно поэтому злоумышленники обращают свое внимание на эти системы ».
Содержание статьи
Тактика против розничных торговцев
Угроза кибербезопасности для Изменилась отрасль розничной торговли. Исследователи наблюдали уменьшение количества атак MageCart, при которых данные транзакций были похищены во время оформления заказа в интернет-магазине. Однако этому удалось противостоять увеличением доли атак с использованием программ-вымогателей.
Отчет показывает, что 69% всех атак вредоносного ПО, нацеленных на организации, были связаны с распространителями программ-вымогателей. Это на 30 процентов больше, чем за тот же квартал 2020 года.
Атаки программ-вымогателей на розничных продавцов составляли 95 процентов все атаки с использованием вредоносных программ. Вероятно, это связано с тем, что предыдущие атаки в этой отрасли в основном были нацелены на данные, такие как платежные реквизиты, личная информация и учетные данные пользователей.
Теперь злоумышленники напрямую преследуют финансовые цели, требуя выкуп. Объем атак социальной инженерии, направленных на розничную торговлю, в этом году также увеличился с 36 процентов в первом квартале до 53 процентов во втором квартале.
Другие результаты
Компания Positive Technologies обнаружила запрет на форумах Dark Web на публикацию сообщений о партнерских программах операторов программ-вымогателей. Это указывает на то, что вскоре эти «партнеры» могут больше не иметь особой роли, говорят исследователи. Вместо этого операторы программ-вымогателей сами могли бы взять на себя сбор и контроль над группами дистрибьюторов.
В семи из 10 атак вредоносного ПО во втором квартале этого года участвовали распространители программ-вымогателей, что на 30 процентных пунктов больше, чем во втором квартале 2020 года, составляющем всего 39 процентов. Наиболее частыми мишенями были государственные, медицинские, промышленные компании, научные и образовательные учреждения.
Электронная почта остается основным методом, который злоумышленники используют для распространения вредоносных программ при атаках на организации (58 процентов). По данным исследователей Positive Technologies, процент использования веб-сайтов для распространения вредоносного ПО в организациях увеличился с двух до восьми процентов
.
Например, этот метод использовался распространителями шпионского ПО для программистов, работающих с Node.js. Вредоносная программа имитировала компонент Browserify в реестре npm.
Атаки вредоносного ПО на физических лиц
Злоумышленники использовали вредоносное ПО в 60% атак на физических лиц. Чаще всего злоумышленники распространяли банковские трояны (30 процентов атак с участием других вредоносных программ), RAT (29 процентов) и шпионское ПО (27 процентов). Согласно отчету, атаки программ-вымогателей составляют лишь девять процентов атак с участием других вредоносных программ.
Например, популярным инструментом атаки на отдельных лиц является распространение NitroRansomware. Злоумышленники распространяют это вредоносное ПО под видом инструмента для создания бесплатных подарочных кодов для Nitro, надстройки Discord.
После запуска вредоносная программа собирает данные из браузера, а затем шифрует файлы в системе жертвы. Чтобы получить дешифратор, жертва должна приобрести подарочный код для активации Nitro и передать его преступникам.
Исследователи также заметили большое количество атак на сетевые диски QNAP. Сетевое хранилище (NAS) QNAP, работающее в Linux, представляет собой системы, состоящие из одного или нескольких жестких дисков, постоянно подключенных к Интернету. QNAP становится резервным «центром» или хранилищем важных файлов и мультимедиа, таких как фотографии, видео и музыка.
Виртуальные системы тоже поражают
Ранее в этом году компания Positive Technologies предупредила, что многие злоумышленники нацелены на виртуальную инфраструктуру. Во втором квартале компания сообщила, что к таким атакам присоединились операторы программ-вымогателей.
REvil, RansomExx (Defray), Mespinoza, GoGoogle, DarkSide, Hellokitty и Babuk Locker готовы к использованию в атаках на виртуальную инфраструктуру на базе VMware ESXi, говорят исследователи.
Это может стать растущей проблемой для пользователей Linux в бизнес-среде, отмечается в отчете. Компания Trend Micro проанализировала новую программу-вымогатель DarkRadiation, находящуюся в разработке, и обнаружила, что она адаптирована для атак на Red Hat, CentOS и Debian Linux.
Сама вредоносная программа представляет собой сценарий bash, который может остановить или отключить все запущенные контейнеры Docker. Злоумышленники используют взломанные учетные записи и протокол SSH как способ распространения этого вымогателя.
По словам Дирка Шрейдера, глобального вице-президента по исследованиям безопасности в New Net Technologies, ныне входящей в Netwrix, мотивация атаковать системы виртуализации заключается не в том, чтобы сосредоточиться на Linux как таковом.
Этот аспект заключается в том, что серверы ESXi являются такой ценной целью и что разработчики вредоносных программ приложили дополнительные усилия, чтобы добавить Linux в качестве источника многих платформ виртуализации в свою функциональность, добавил он.
VMware ESXi — это гипервизор без операционной системы, который легко устанавливается на серверы и разделяет его на несколько виртуальных машин.
«Это приветствует побочный эффект, позволяющий атаковать любую машину Linux. Теоретически на одном сервере EXSi 7 можно разместить до 1024 виртуальных машин. Но для злоумышленника именно сочетание нескольких виртуальных машин и их важности делает каждый сервер ESXi достойной целью. Атака и шифрование устройства, на котором работает около 30 критически важных служб для организации, обещают принести результаты с уплатой выкупа », — сказал он TechNewsWorld.
Отражение
29 июля компания Vulcan Cyber опубликовала свое исследование инициатив по устранению киберрисков на предприятиях. Компания Vulcan опросила 200 лидеров кибербезопасности об их режимах кибергигиены.
Результаты показали, что семь процентов компаний подверглись уязвимости ИТ-безопасности за последний год. Примечательно, что только 33% респондентов заявили, что их компания считает управление уязвимостями на основе рисков «очень важным».
Существует явный и увеличивающийся разрыв между корпоративными программами управления уязвимостями и способностью групп ИТ-безопасности фактически смягчать последствия По словам Янива Бар-Даяна, генерального директора и соучредителя Vulcan Cyber, их организации рискуют столкнуться с риском.
«По мере того, как уязвимости безопасности распространяются на цифровых поверхностях, становится все более критичным, чтобы все заинтересованные стороны корпоративной ИТ-безопасности вносили существенные изменения в свои усилия по кибербезопасности. Это должно включать в себя приоритизацию усилий по кибербезопасности, основанных на оценке рисков, расширение сотрудничества между отделами безопасности и ИТ, обновление инструментов управления уязвимостями и улучшение корпоративной аналитики рисков, особенно в компаниях с передовыми программами облачных приложений », — сказал он TechNewsWorld.