Эксперты Positive Technologies проанализировали актуальные киберугрозы III квартала 2021 года и зафиксировали снижение числа уникальных кибератак, рост доли атак на частных лиц, а также увеличение количества кибернападений на организации с использованием ВПО для удаленного управления. При общем снижении доли атак на организации с использованием ВПО стремление злоумышленников к получению данных привело к росту использования ВПО для удаленного управления — с 17% до 36% в атаках на организации, а при атаках на частных лиц эти вредоносы составили уже более половины от всего использованного ВПО. По сравнению с I кварталом, в III квартале текущего года доля использования ВПО для удаленного управления в атаках на пользователей выросла в 2,5 раза.
Отступление вымогателей
По данным анализа, число кибератак в III квартале текущего года уменьшилось на 4,8% по сравнению с предыдущим. Отрицательную динамику специалисты компании отметили впервые с конца 2018 года. По их мнению, это главным образом связано с сокращением количества атак шифровальщиков и уходом некоторых крупных игроков со сцены. По этой же причине снизилась (с 87% до 75%) и доля атак, направленных на компрометацию корпоративных компьютеров, серверов и сетевого оборудования. Эксперты отмечают, что пик атак шифровальщиков в этом году пришелся на апрель, в котором были зафиксированы 120 атак. Но уже в сентябре было зарегистрировано всего 45 атак, что на 63% меньше апрельского пика. Это можно объяснить прекращением деятельности некоторых крупных групп вымогателей и повышенным вниманием к проблеме атак шифровальщиков со стороны прессы и правоохранительных органов.
Эксперты Positive Technologies также отметили тенденцию к т. н. ребрендингу действующих групп вымогателей, который заключается в пересмотре некоторыми операторами шифровальщиков своего отношения к схеме ransomware as a service (RaaS, «вымогатель как услуга»), несущей определенные риски со стороны недобросовестных партнеров. Собственно, партнерская модель для черного рынка — не очень эффективна, поскольку в случае опасности разработчики будут продавать своих «партнеров» за послабление в наказании, хотя основную массу доходов получают как раз эти самые «партнеры». Поэтому ситуация неустойчивая и долгое время существовать не может. Скорее всего, такая схема уже больше не возродиться.
«Во II квартале мы отмечали, что одним из возможных сценариев дальнейшей трансформации шифровальщиков будет отказ от концепции RaaS в текущем виде, — считает руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева. — Операторам шифровальщиков гораздо безопаснее брать людей, которые будут заниматься доставкой вредоносов и поиском уязвимостей, в „штат“. Так будет безопаснее обеим сторонам, то есть возможен вариант формирования более организованных и эффективных форм, которые будут придерживаться концепции all-in-one. В III квартале мы наблюдали первые шаги в этом направлении. Дополнительным драйвером к такому подходу является развитие рынка сбыта различных эксплойтов и доступов к компаниям».
Доступ вместо вымогательства
Анализ Positive Technologies показал, что в III квартале доля атак APT-группировок выросла до 5% от общего числа атак на пользователей. По мнению экспертов, это обусловлено запуском многочисленных фишинговых и разведывательных кампаний в отношении сотрудников различных государственных учреждений, промышленных предприятий, представителей прессы. По сравнению с аналогичным периодом прошлого года доля атак на частных лиц с использованием методов социальной инженерии выросла с 67% до 83%. При этом злоумышленники не стоят на месте и постоянно совершенствуют методы обмана, например вынуждая жертву саму звонить в поддельный контакт-центр, как в случае с кампанией по распространению вредоносного ПО и шифровальщиков BazaCall. Чтобы не попасться на уловки мошенников, специалисты советуют прежде всего придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности.
Однако основная цель действий APT-группировок — не шифрование инфраструктуры и вымогание денег, но продажа удаленного доступа к ресурсам захваченной инфраструктуры. Такой шпионский захват может существовать значительно дольше единовременной акции с шифровальщиком, да к тому же позволит хакерам получить больше дохода от проделанной работы. Удаленный же доступ может быть использован для самых разнообразных целей: шпионажа за деятельностью компании, получения доступа к накопленным у нее персональным и любым другим данным, встраивания закладок в цифровые сервисы компании для дальнейшего захвата ее клиентов и множества других. Это при том, что поиск подобных закладок внешних хакеров сильно затруднен сложностью современных ИТ-инфраструктур — это может стать серьезной проблемой в будущем.
