Команди корпоративної безпеки можуть додати ще три варіанти програм-вимагачів до постійно зростаючого списку загроз програм-вимагачів, за якими їм потрібно стежити.
Три варіанти — Vohuk, ScareCrow і AESRT — як і більшість програм-вимагачів, націлені на системи Windows і, здається, відносно швидко поширюються на системах, що належать користувачам у кількох країнах. Дослідники безпеки з FortiGuard Labs Fortinet, які цього тижня відстежують загрози, описали, як зразки програм-вимагачів набирають популярності в базі даних компанії-вимагачів.
Аналіз Fortinet З трьох загроз показали, що вони є стандартними інструментами-вимагачами, які, тим не менш, були дуже ефективними для шифрування даних у скомпрометованих системах. У попередженні Fortinet не вказано, як оператори нових зразків програм-вимагачів поширюють своє шкідливе програмне забезпечення, але зазначено, що фішингова електронна пошта зазвичай є найпоширенішим вектором зараження програмами-вимагачами.
Зростає кількість варіантів
«Якщо зростання кількості програм-вимагачів у 2022 році вкаже на те, що чекає в майбутньому, команди безпеки в усьому світі повинні очікувати, що цей напрямок атак стане ще більш популярним у 2023 році», — говорить Фред Гутьєррес, старший інженер безпеки FortiGuard Labs Fortinet.
Лише за першу половину 2022 року кількість нових варіантів програм-вимагачів, які виявила FortiGuard Labs, зросла майже на 100% порівняно з попереднім шестимісячним періодом, каже він. Команда FortiGuard Labs задокументувала 10,666 2022 нових варіантів програм-вимагачів у першій половині 5,400 року порівняно з лише 2021 у другій половині XNUMX року.
«Цей ріст нових варіантів програм-вимагачів відбувається насамперед завдяки тому, що більше зловмисників користуються перевагами програми-вимагача як послуги (RaaS) у темній мережі», — каже він.
Він додає: «Крім того, мабуть, найбільш тривожним аспектом є те, що ми спостерігаємо збільшення більш руйнівних атак програм-вимагачів у масштабі та практично в усіх типах секторів, що, як ми очікуємо, триватиме до 2023 року».
Стандартні, але ефективні штами програм-вимагачів
Варіант програм-вимагачів Vohuk, який проаналізували дослідники Fortinet, здавалося, знаходиться в третій ітерації, що вказує на те, що його автори активно розробляють його.
За словами Fortinet, зловмисне програмне забезпечення розміщує повідомлення про викуп README.txt у зламаних системах, яке просить жертв зв’язатися зі зловмисником електронною поштою з унікальним ідентифікатором. У записці повідомляється жертві, що зловмисник не є політично вмотивованим, а зацікавлений лише у фінансовій вигоді — імовірно, щоб запевнити жертв, що вони повернуть свої дані, якщо вони сплатять вимаганий викуп.
Тим часом «ScareCrow — ще одне типове програмне забезпечення-вимагач, яке шифрує файли на машинах жертв», — повідомили у Fortinet. «Його повідомлення про викуп, також під назвою «readme.txt», містить три канали Telegram, за допомогою яких жертви можуть спілкуватися зі зловмисником».
Хоча записка про викуп не містить жодних конкретних фінансових вимог, можна з упевненістю припустити, що жертвам доведеться заплатити викуп, щоб відновити файли, які були зашифровані, повідомляє Fortinet.
Дослідження постачальника засобів безпеки також показали певне збігання між ScareCrow і сумно відомим Варіант програми-вимагача Conti, один із найпродуктивніших інструментів програм-вимагачів. Обидва, наприклад, використовують той самий алгоритм для шифрування файлів, і так само, як Conti, ScareCrow видаляє тіньові копії за допомогою утиліти командного рядка WMI (wmic), щоб зробити дані невідновними в заражених системах.
Подання до VirusTotal свідчить про те, що ScareCrow заразив системи в Сполучених Штатах, Німеччині, Італії, Індії, Філіппінах і Росії.
І, нарешті, AESRT, третє нове сімейство програм-вимагачів, яке Fortinet нещодавно помітив у дикій природі, має функціональність, подібну до двох інших загроз. Основна відмінність полягає в тому, що замість того, щоб залишати повідомлення про викуп, зловмисне програмне забезпечення відкриває спливаюче вікно з адресою електронної пошти зловмисника та полем, у якому відображається ключ для розшифровки зашифрованих файлів, коли жертва сплатить вимаганий викуп.
Чи сповільнить Crypto-Collapse загрозу програм-вимагачів?
Нові варіанти доповнюють довгий — і постійно зростаючий — список загроз програм-вимагачів, з якими організаціям тепер доводиться стикатися щодня, оскільки оператори програм-вимагачів продовжують невпинно завдавати шкоди корпоративним організаціям.
Дані про атаки програм-вимагачів, які LookingGlass проаналізував на початку цього року, показали, що вони були 1,133 підтверджені атаки програм-вимагачів лише в першій половині 2022 року — більше половини (52%) з них торкнулися американських компаній. LookingGlass виявив, що найактивнішою групою програм-вимагачів є група програм-вимагачів LockBit, за якою йдуть групи Conti, Black Basta та Alphy.
Однак швидкість активності не стабільна. Деякі постачальники засобів безпеки повідомили про незначне уповільнення активності програм-вимагачів протягом певних періодів року.
У середньорічному звіті SecureWorks, наприклад, зазначив, що його дії з реагування на інциденти в травні та червні свідчать про те, що швидкість нових успішних атак програм-вимагачів дещо сповільнилася.
SecureWorks визначив, що ця тенденція, ймовірно, пов’язана, принаймні частково, з перебоями в роботі Conti RaaS цього року та іншими факторами, такими як руйнівний вплив війни в Україні на банди програм-вимагачів.
Ще один звіт Ресурсного центру крадіжки особистих даних (ITRC), повідомили про зниження кількості атак програм-вимагачів на 20%. що призвело до порушення протягом другого кварталу 2022 року порівняно з першим кварталом року. ITRC, як і SecureWorks, визначили падіння як пов’язане з війною в Україні та, що важливо, з крахом криптовалют, які оператори програм-вимагачів віддають перевагу для платежів.
Брайан Вер, генеральний директор LookingGlass, каже, що він вважає, що крипто-крах може перешкодити операторам програм-вимагачів у 2023 році.
«Нещодавній скандал із FTX спричинив занепад криптовалют, і це впливає на монетизацію програм-вимагачів і, по суті, робить її непередбачуваною», — каже він. «Це не віщує нічого доброго для операторів програм-вимагачів, оскільки їм доведеться розглянути інші форми монетизації в довгостроковій перспективі».
Варе каже тенденції навколо криптовалют деякі групи програм-вимагачів розглядають можливість використання власних криптовалют: «Ми не впевнені, що це матеріалізується, але загалом групи програм-вимагачів стурбовані тим, як вони будуть монетизувати та підтримувати певний рівень анонімності в майбутньому».
