Вымогатели как услуга: хакеры все чаще сдают троянцев в аренду

Появляются новые сервисы по сдаче троянов в аренду

Эксперты Positive Technologies отмечают, что во II квартале 2017 года продолжили набирать популярность сервисы «вымогатели как услуга». Более четверти атак (28%) в этот период были масштабными и затронули одновременно десятков стран и сотен, а то и тысяч компаний.

Вымогатели

По статистике Positive Technologies, 67% атак осуществляли для заработка денег. При этом более половины атак носили массовый характер и использовали преимущественно вредоносное программное обеспечение.

Эпидемия вируса-вымогателя WannaCry (WanaCypt0r, WCry) показала, что можно стать жертвой атаки, даже если не открывать подозрительные письма и не кликать по ссылкам в них. По данным Intel, общее количество зараженных этим вирусом компьютеров превысило 530 тысяч. На биткоин-кошельки разработчиков WannaCry от жертв поступило более 50 BTC ($128 тыс.), при этом общий убыток компаний составил более миллиарда долларов.

Другую масштабную эпидемию в конце июня вызвал шифровальщик NotPetya, также известный под именами ExPetr, PetrWrap, Petya, Petya.A. Особенностью этой эпидемии было то, что преступники не планировали заработать денег. Они рассылали ключ восстановления файлов в обмен на выплаты. Их вирус распространялся для вывода из строя информационных систем, уничтожение файлов и саботажа. Более 40 жертв заплатили выкуп на общую сумму, эквивалентную $10 тыс.

Тренд «вымогатели как услуга» (ransomware as a service) набирает обороты. Появляются новые сервисы по сдаче троянов в аренду: например, дистрибьютор Petya или Mischa получает от 25% до 85% от суммы платежей жертв, а другой троян-шифровальщик Karmen продается за $175.

Пока одни злоумышленники желают рассчитываться криптовалютой для получения доходов, другие атакуют криптовалютные биржи и счета их клиентов. Например, получив доступ к персональным данным 31 800 пользователей южнокорейской биржи Bithumb, злоумышленники смогли получить доступ к их счетам. Потери от этой атаки оценили в 1 миллиард вон ($890 тыс.). В ходе другой атаки, на биржу Tapizon, злоумышленники получили доступ к четырем кошелькам и в целом похитили около 3816 биткоинов ($5,3 млн).

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а потом по доверенным каналам проникали в сеть организаций-жертв.