В отчете специалисты McAfee Labs рассказали об угрозах, которые появились во втором полугодии 2020 года. Команда исследователей активно отслеживала, выявляла и изучала причины и следствия популярных и широко известных атак на предприятия.

По мере того, как бизнес сталкивается с новыми проблемами в 2021 году, крайне важно, чтобы сотрудники — как на месте, так и удаленно — были готовы к потенциальным угрозам, возникающим в результате, казалось бы, рутинного взаимодействия. Программы-вымогатели и вредоносные программы, нацеленные на уязвимости в рабочих приложениях и рабочих процессах, были особо активны во второй половине 2020 года и сейчас остаются опасными угрозами, способными захватить данные, принося миллионные потери.

Главное в отчете:

1. увеличился объем вредоносных угроз. Объем вредоносных угроз, зафиксированных McAfee Labs в III квартале 2020 г., в среднем составил 588 угроз в минуту, увеличившись на 40%. Объем угроз в IV квартале в среднем составил 648 угроз в минуту;
2. число инцидентов безопасности выросло по всему миру. В III и IV кварталах 2020 г. число публично обнародованных инцидентов в Европе выросло на 100%. Число инцидентов в Азии — на 84%. В Северной Америке — на 36%. За отчетный период на 100% увеличилось число публично раскрытых инцидентов в технологическом секторе и на 93% — в общественном секторе. Количество раскрытых инцидентов, связанных с эксплуатацией уязвимостей, увеличилось на 100%, с вредоносным ПО и целенаправленными атаками — на 43%, а со взломами учетных записей (аккаунтов) — на 30%;
3. увеличилось количество атак на облачные сервисы. В IV квартале 2020 г. специалисты McAfee зафиксировали около 3,1 млн. внешних атак на учетные записи облачных сервисов. Эти данные относятся к компаниям из следующих сфер: финансовые услуги, здравоохранение, государственный сектор, образование, розничная торговля, технологии, производство, энергетика, жилищно-коммунальные услуги, юридические услуги, недвижимость, транспорт и коммерческие услуги. Во второй половине 2020 года больше всего облачных инцидентов было выявлено в Таиланде и Индии. Далее расположились Новая Каледония, Россия, Нидерланды и Бразилия;
4. выросло количество вредоносного ПО в нескольких категориях: в IV квартале на 208% увеличилось количество атак с использованием PowerShell из-за продолжающегося роста активности вредоносного ПО Donoff; в III квартале количество кибератак на MacOS увеличилось на 420%, отчасти благодаря вымогательскому ПО EvilQuest, но к концу года число атак начало снижаться; объем офисного вредоносного ПО вырос на 199%; объем мобильного вредоносного ПО вырос на 118%, причина тому — увеличение числа атак с использованием SMS Reg; зафиксировано некоторое снижение числа атак на iOS, IoT и JavaScript;
5. новые программы-вымогатели стали атаковать активнее. В III — IV кварталах 2020 г., по данным McAfee, наблюдался прирост числа новых программ-вымогателей на 69%. Большую роль в этом сыграл Cryptodefense. Верхние строчки в списке выявленных семейств программ-вымогателей занимают REvil, Thanos, Ryuk, RansomeXX и Maze;
6. изменилась тактика кибер-преступников. Согласно классификации MITRE ATT & CK, основными методами злоумышленников стали: обнаружение файлов и каталогов (T1083), шифрование данных для атаки (T1486), остановка служб (T1489), обнаружение файлов или информации (T1027) и обнаружение системной информации (T1082).

Авторы программ-вымогателей всё больше отходят от тактик безадресной атаки («spray and pray») в пользу более точечных и высокобюджетных целей, для чего организуют сбор информации о будущей жертве до того, как начать непосредственное заражение. В том числе, они пытаются привлечь на свою сторону недобросовестных экспертов в области резервного копирования и виртуализации.

Злоумышленники постоянно придумывают новые способы избежать обнаружения. Один из заслуживающих внимания методов, который мы наблюдали в IV квартале, был применен группой злоумышленников APT28, которая использовала файлы VHD (или виртуальные жесткие диски) для упаковки и маскировки своих вредоносных данных.

В IV квартале 2020 г. McAfee вместе с Microsoft и 17 другими компаниями из сферы IT и информационной безопасности, а также некоммерческими организациями, сформировала новую рабочую группу Ransomware Task Force (RTF), главной целью которой является борьба с растущей угрозой программ-вымогателей.