Москва 1oC

Свежие новости

Последние новости

13:20
60 минут
12:27
Вечер с Владимиром Соловьевым
10:08
Бесогон TV
01:54
"Ле Монд" сообщает о базе ГРУ в Альпах
01:35
У Байдена сдают нервы. Кандидат от демократов обругал пожилого человека на встрече с избирателями
01:19
Иркутские чиновники теряют берега
23:56
Госдеп США: хакер Aqua из России разорил американцев на 70 миллионов долларов
23:32
Небензя уговорил Трампа оформить "российскую комнату" в Белом доме
23:00
Сборная России по плаванию с рекордом мира взяла золото в микст-эстафете 4х50 м на чемпионате Европы
22:11
На флотах РФ активно осваивают новое вооружение
21:49
Пожар в Одессе: найдено тело второй погибшей
21:48
Соколова отправили на обследование в психиатрическую клинику
21:03
Ракета Falcon 9 стартовала к МКС
20:46
Новая Opera для Android "выключит свет" на любом сайте
20:11
Путин поручил подготовить обоснование трансмонгольского газопровода в Китай
19:59
Машина сбила женщину с двумя детьми в Зеленограде
19:55
Следователи начали проверку по факту падения российской гимнастки в Латвии
19:35
Во время беспорядков в Париже пострадала журналистка RT
19:08
Путин: Россия готова немедленно продлить СНВ-3
18:51
США объявили о новых санкциях против России
18:06
"Это провокация и вброс": власти заявляют, что ОСАГО не подорожает на треть
17:53
Я не пацан: Лукашенко заявил, что Белоруссия никогда не войдет в состав других государств
17:25
С полсотни голодных медведей осаждают чукотское село
17:20
Трамп призвал демократов как можно скорее объявить ему импичмент
17:20
Россия создаст в Арктике 200 тысяч рабочих мест
17:07
Из-за долга в тысячу рублей оренбуржец испортил семь чужих дорогих машин
16:55
Лавров: требования Германии и Нидерландов неприемлемы для РФ
16:40
Подросток шесть раз спускался в узкий колодец, чтобы спасти упавшую девочку
16:37
Россия и Белоруссия не договорились по газу и нефти
16:27
Зритель концерта группы "Ленинград" получил компенсацию за мат в песнях
16:05
МИД РФ: болгарский дипломат объявлен persona non grata в ответ на действия Софии
15:20
Стая собак едва не загнала человека под колеса движущейся машины
14:46
Противозачаточные таблетки изменяют женский мозг
14:22
Чемпионат мира. Российские гандболистки одержали четвертую победу подряд
14:12
Неизвестные сообщили о "минировании" 22 станций петербургского метро
14:08
США разрешили перевезти плавучий космодром "Морской старт" в Россию
14:03
Qualcomm хочет обеспечить каждый Android-смартфон поддержкой 5G
Больше новостей
Спец Новости » Технологии » Интернет » Вирусы-шифровальщики - в половине вирусных почтовых рассылок

Вирусы-шифровальщики - в половине вирусных почтовых рассылок

Технологии / Интернет
0
Больше половины всех почтовых рассылок вредоносных программ в первой половине 2019 г. пришлись на вирусы-шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh, сообщают специалисты по кибербезопасности из Group-IB. Чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией, более 80% всех вредоносных файлов для маскировки доставлялись в архивах zip и rar.

Согласно исследованию CERT-GIB, по данным за первое полугодие 2019 г., в 60 странах мира основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта. Во второй половине 2018 г. доля загрузок вредоносных программ с помощью веб-браузера сократилась до самого минимума и составляла не более 5%, а в первой половине 2019 г. только каждая 19-я загрузка не была связана с почтовой рассылкой.

В первой половине 2019 г. наблюдается десятикратный рост использования запароленных объектов — документов или архивов. В 2017 г. на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 г. их количество выросло до 3,6%. В первой половине 2019 г. наблюдается аномальный рост до 27,8%.

Другой тенденцией стала маскировка вредоносного программного обеспечения (ВПО) в письме. Для того чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых 6 месяцев 2019 г. в архивах доставлялось более 80% всех вредоносных объектов, в основном для этого использовались форматы zip (32% и rar 25%) Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива либо в ходе дальнейшей переписки с жертвой.

Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% - на вложения, тогда как за весь 2018 г. на ссылки приходилось вдвое меньше ВПО.

Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта, и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.

"Современные киберпреступники обладают инструментами, позволяющими убедиться, что рассылаемый вредоносный экземпляр не детектируется популярными антивирусными средствами, — отмечает Александр Калинин, руководитель Центра реагирования на инциденты кибербезопасности CERT-GIB. — Отметим, что схемы с вложенными или запароленными архивами, отложенной активацией и т. д. оказываются оперативно обнаруженными только в случае использования продвинутых систем раннего предотвращения кибератак, а вместе со сложным поведенческим анализом позволяют успешно детектировать ранее неизвестные экземпляры ВПО. Получив информацию из нашего исследования, SOC (Security Operation Center) и CERT могут проверить, закрывают ли они перечисленные угрозы или нет, поскольку, если они не проверили ссылку, которую получил пользователь, они могут пропустить угрозу, от которой в конечном итоге пострадают их клиенты".

Финансисты в группе риска

Для того чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии. В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. Если раньше отправители в русскоязычном сегменте использовали в качестве названия вредоносных фалов слова "Платеж", "Приглашение", "Скан", "Акт", то в этом году чаще всего используют "Документы", "Заказ", "Ордер" или "Пароль".

В атаках на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и т. д. Как видно из выборки, в основном популярностью пользуются ключевые слова из финансовой сферы, подогревая интерес у получателя запустить вредоносный аттач.

Если рассматривать типовую массовую рассылку, то выбранная тематика позволяет атакующим с большей вероятностью заразить компьютер сотрудника финансового департамента, который в свою очередь представляет большую ценность для злоумышленника в сравнении с устройствами других сотрудников. В группе риска – специалисты бухгалтерии, финансисты, коммерческие отделы и секретари.

Если в 2018 г. угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 г. существенно ухудшилась ситуация с шифровальщиками: они вновь уверенно вернулись на первое место (54%).

В топ-3 самых массовых атак вошли следующие вредоносные программы: Troldesh (53%), RTM (17%), Pony (6%).

Troldesh – самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh — зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

На втором месте — банковский троян RTM, написанный одноименной хакерской группировкой. Появившись в 2016 г., RTM привлек особое внимание тем, что получение списка управляющих серверов происходило при обращении к странице профиля на площадке Livejournal. После анализа было установлено, что RTM нацелен на хищение денежных средств через ДБО российских банков.

Используя различные схемы распространения, RTM на какое-то время пропал из виду и в середине 2018 г. снова заявил о себе, распространяясь через сеть поддельных бухгалтерских сайтов. Далее на протяжении всего отчетного периода использовался в различных атаках на финансовые учреждения и предприятия. С начала 2019 г. количество вредоносных рассылок с RTM держится на стабильно высоком уровне.

Что происходит в России и в мире? Объясняем на нашем YouTube-канале. Подпишись!

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

QR-код адреса страницы:

Внимание! Точка зрения редакции сайта может не совпадать с точкой зрения авторов статей

0 комментариев

Ваше имя: *
Ваш e-mail: *
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Отметьте флажок: