Число безфайловых атак выросло на 900%, а криптомайнеры возвращаются

4 квартал 2020 года стал по настоящему интригующим в сфере кибер-безопасности. Это заметили многие компании, обеспечивающие безопасность IT структур. Компания WatchGuard Technologies 30 марта опубликовала свой отчет по кибер-атакам. Специалисты компании декларировали о возросшем количестве безфайловых атак, аж на 900%, в сравнении с аналогичным периодом 2019 года, а количество вирусов-криптомайнеров выросло на 25%, в то время как активность шифровальщиков сократилось на 48%. Кроме того, удалось выявить, что количество обнаруженных зловредов увеличилось на 41%, а сетевые атаки достигли рекордного уровня с 2018 года. Ежеквартальные отчеты WatchGuard Technologies информируют домашних и корпоративных пользователей о тенденциях развития вредоносных программ, по мере их появления.

Основные положения за 4 квартал 2020 года

Количество безфайловых атак растет с огромной скоростью. Количество заражений возросло на 888% в сравнении с 2019 годом. Данный вид атак особенно опасен из-за способности уклонения от обнаружения традиционными средствами защиты. Злоумышленники используют ряд инструментов (PowerSploit и CobaltStrike) для проникновения на конечное устройство. Специальные инструменты позволяют возобновлять активность удаленных скриптов антивирусом пользователя. Только внедрение расширений с расширенным опциями безопасности, такими как EDR может помочь выявить подобные угрозы.

Криптомайнеры на подъеме после затишья 2019 года. После того как практически все цены на криптовалюты рухнули в 2018 году, заражения криптомайнерами стали гораздо менее распространенными и достигли минимума, за весь 2019 год было обнаружено всего 633 уникальных вариантов вирусов. Тем не менее, злоумышленники возобновили добавление криптомайнеров к известным вирусам, показавших свою эффективность. Успешное заражение позволяло мошенникам получать пассивный доход за счет ресурсов жертвы. В результате, объем обнаружения зловредов вырос на 25% и составил 850 уникальных вариантов вирусов.

Объемы атак шифровальщиками сокращаются. Количество уникальных видов данного вируса уменьшается второй год подряд. С 2018 года их количество сократилось почти в два раза, отметим, что речь идет об отдельных вариантах программ-шифровальщиков, которые могли заразить сотни или тысячи конечных устройств. Большинство этих обнаружений были получены с помощью сигнатур, первоначально внедренных в 2017 году для обнаружения WannaCry и связанных с ним вариантов, — это показывает, что тактика ransomware все еще процветает в течение трех лет после того, как WannaCry стал известен всему миру. Неуклонное снижение числа программ-шифровальщиков указывает на продолжающийся переход злоумышленников от несфокусированных, широко распространенных кампаний прошлого к узконаправленным атакам на медицинские организации, производственные предприятия и другие организации, сбои в работе которых попросту неприемлемы.

Зашифрованные, уклончивые от обнаружения атаки вредоносных программ демонстрируют двузначный рост. Несмотря на то, что в целом количество вредоносных программ снижается четвертый квартал подряд, почти половина (47%) всех атак, обнаруженных на периметрах корпоративных сетей в четвертом квартале, были зашифрованы. Кроме того, количество вредоносного ПО, доставляемого через HTTPS-соединения, выросло на 41%, в то время как зашифрованное вредоносное ПО нулевого дня (варианты, которые обходят антивирусные сигнатуры) выросло на 22% по сравнению с 3 кварталом 2020 года.

Новый троян одурачивает почтовые сканеры с помощью мульти-загрузочного подхода. Script.1026663 вошел в пятерку самых распространенных вредоносных программ, обнаруженных компанией WatchGuard в 4 квартале 2020 года. Атака начинается с электронного письма, в котором жертву просят просмотреть вложение со списком заказов. Документ запускает набор «полезных нагрузок» и вредоносный код, которые в конечном итоге проводят против устройства жертвы финальную атаку: троян удаленного доступа (RAT) Agent Tesla и кейлоггер.

Для обеспечения защиты домашних и корпоративных устройств, компания ОЛОФ рекомендует использовать Kaspersky Total Security и Kaspersky EDR, соответственно.