Эксперты проанализировали актуальные киберугрозы I квартала 2021 года и зафиксировали рост числа атак с помощью программ-вымогателей, появление множества новых шифровальщиков, а также отметили, что разработчики вредоносного ПО все чаще стали адаптировать его под атаки на средства виртуализации.
По данным анализа, количество атак увеличилось на 17% в сравнении с I кварталом 2020 года, а относительно IV квартала 2020 года прирост составил 1,2%. При этом 77% атак были целенаправленными, а инциденты с частными лицами составили 12% от числа всех инцидентов. Чаще всего злоумышленники атаковали госучреждения, промышленность и организации в сфере науки и образования. Как отмечают специалисты Positive Technologies, главными целями злоумышленников являются персональные и учетные данные, а при атаках на организации к ним добавляется еще и коммерческая тайна.
В исследовании говорится, что программы-вымогатели остаются самым распространенным вредоносным ПО. Их доля среди прочего ВПО, применяемого в атаках на организации, увеличилась на семь процентных пунктов в сравнении с IV кварталом 2020 года и составляет 63%. Эксперты также отметили появление новых шифровальщиков, например Cring, Humble и Vovalex. При этом сообщается об активности шифровальщика WannaCry, громко заявившего о себе в 2017 году.
«Разработчики вредоносного ПО продолжают искать новые способы обхода средств защиты, — отмечает аналитик Positive Technologies Яна Юракова. — Для этого они используют, к примеру, редкие языки программирования, как в случае с создателями ВПО для удаленного управления BazarBackdoor, которые переписали его, используя язык Nim, или операторами программ-вымогателей Vovalex и RobbinHood, которые изначально выбрали редкие языки D и Golang. Некоторые злоумышленники дополняют свои инструменты функциями, стирающими следы вредоносной активности».
По данным исследования, суммы выкупа, требуемые операторами программ-вымогателей продолжают расти, а из-за того, что некоторые компании отказываются от уплаты выкупа, злоумышленники изобретают новые тактики вымогательства: например, если компания не собирается платить, преступники угрожают сообщить о факте атаки и об украденных данных ее клиентам: по замыслу преступников, клиенты смогут повлиять на компанию и заставить ее заплатить — чтобы не допустить разглашения своих данных.
Все больше злоумышленников разрабатывают свое ВПО для проведения атак на среды виртуализации, а некоторые пытаются активно эксплуатировать уже найденные уязвимости в ПО для развертывания виртуальной инфраструктуры. Прежде всего, эксперты связывают это с глобальным процессом переноса IT-инфраструктуры компаний в виртуальную среду.
«Злоумышленники тщательно отслеживают информацию о новых уязвимостях и стараются как можно скорее найти им применение в своих атаках, — комментирует директор по анализу защищенности Positive Technologies Дмитрий Серебрянников. — В начале 2021 года наши специалисты помогли устранить несколько критически опасных уязвимостей в продуктах VMware 1, в том числе CVE-2021-21972 в vCenter Server, позволяющую удаленно выполнить код 2. После появления в начале февраля обновлений безопасности от вендора и публикации бюллетеня исследователи компании Bad Packets обнаружили множественные сканирования сетей с целью поиска уязвимых узлов. Мы настоятельно рекомендуем установить обновления безопасности как можно скорее».
- Продукты компании VMware занимают до 80% рынка виртуализации, их используют более 4 млн пользователей и 20 000 компаний по всему миру.
- На момент публикации, по оценке специалистов Positive Technologies, число устройств, уязвимых для CVE-2021-21972, во всем мире превышало 6000.