Мультизадачные мошенники
Среди киберпреступников растет интерес к универсальным вредоносным программам, которые можно модифицировать практически под неограниченное количество задач. К такому выводу пришли эксперты «Лаборатории Касперского», проанализировав активность 60 тысяч ботнетов — сетей из зараженных устройств, которые злоумышленники используют в своих целях, в частности для распространения вредоносного программного обеспечения.
За первую половину 2018 года доля бэкдоров — зловредов, не имеющих специфического предназначения, но дающих возможность удаленного контроля зараженного устройства, — выросла наиболее заметно по сравнению с другими категориями вредоносных программ. Если во второй половине 2017 года количество подобных нелегальных инструментов для удаленного доступа составляло 6,6% от общего числа циркулировавших в ботнетах зловредов, то за первые шесть месяцев 2018-го оно увеличилось почти вдвое и составило 12,2%.
Наиболее распространенным представителем бэкдоров оказался njRAT: эксперты «Лаборатории Касперского» подсчитали, что он стал каждым двадцатым файлом, скачиваемым ботами. Столь широкое распространение связано с разнообразием версий зловреда и простотой настройки собственного варианта бэкдора, что облегчает работу злоумышленникам.
В первом полугодии заметно выросли доли программ-загрузчиков и майнеров. Так, процентный показатель для первых увеличился с 5% (во второй половине 2017 года) до 12%, а для вторых — с 2,7 до 5%. Рост числа загрузчиков говорит о многоступенчатости атак и их растущей сложности, поскольку подобные программы после заражения устройства могут установить любое другое вредоносное ПО с теми функциями, которые нужны злоумышленникам. Майнеры же активно распространяются из-за того, что ботнет все чаще рассматривается как инструмент для генерации криптовалют.
Заметнее всего снизились доли банковских троянцев (с 22,5 до 13%) и спам-ботов (с 18,9 до 7%). Вместе с тем эксперты «Лаборатории Касперского» уверены, что говорить об уменьшении общего количества банковских троянцев преждевременно, поскольку они довольно часто доставляются на зараженные устройства программами-загрузчиками, доля которых, напротив, значительно выросла.
«Бэкдоры и другие многофункциональные зловреды получили столь широкое распространение по одной простой причине: владение ботнетом обходится киберпреступникам в приличную сумму, и поэтому они используют любую возможность для извлечения денег из продаваемого или сдаваемого в аренду вредоносного ПО. Ботнет, построенный на многофункциональных зловредах, можно быстро перенастроить в зависимости от задачи, будь то рассылка спама, организация DDoS-атак или распространение банковских троянцев. Однако помимо того, что такое устройство ботнета позволяет его владельцам быстро переключаться между различными “бизнес-моделями”, оно также открывает для них возможности пассивного дохода: владелец может просто сдать в аренду весь ботнет целиком», — поясняет Александр Еремин, антивирусный эксперт «Лаборатории Касперского».
Недавно исследователи из «Лаборатории Касперского» обнаружили новую вредоносную операцию известной группировки Lazarus. Атака получила название AppleJeus, ее целью стала криптовалютная биржа в Азии. В сеть жертвы злоумышленники проникли с помощью зараженного ПО для торговли криптовалютами. Примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS. И это первый известный образец macOS-вредоноса в арсенале Lazarus.
Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПО для торговли криптовалютами. Сайт при этом выглядел вполне легитимно.
Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новых версий программы. Однако в случае AppleJeus этот компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и если те решали, что жертва им интересна, загружала вредоносный код под видом обновления. Зловред, попадавший на зараженные компьютеры, оказался хорошо известен исследователям: это троянец Fallchill — старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой AppleJeus.
После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развертывать дополнительные инструменты в зависимости от цели и обстоятельств. Ситуация осложняется еще и тем, что в новой атаке злоумышленники решили не ограничиваться привычной платформой Windows и создали идентичную версию троянца для операционной системы macOS, которая традиционно считалась менее подверженной кибератакам (по сравнению с Windows).
«Лаборатория Касперского» — международная группа компаний с центральным офисом в Москве и представительствами в Великобритании, Китае, Франции, США, Германии, Румынии, Японии, Южной Корее, Нидерландах, Польше, ОАЭ и Канаде. Обладает партнерской сетью, объединяющей свыше 500 компаний более чем в 60 странах мира. Ведет свою деятельность более чем в 200 странах и территориях. Сотрудничает с крупнейшими компаниями как в России, так и за рубежом. «Касперский» входит в четверку ведущих мировых производителей программных решений для защиты конечных устройств. Компания специализируется на разработке систем защиты от компьютерных вирусов, спама, хакерских атак и прочих киберугроз.
Эксперты «Лаборатории Касперского» внесли свой вклад в создание рекомендаций по обеспечению безопасности устройств интернета вещей (Internet of Things, IoT). Специалисты «Лаборатории» участвуют в работе группы безопасности IoT Агентства Евросоюза по сетям и информационной безопасности (ENISA).
В декабре 2017 года президент США Дональд Трамп придал статус закона сентябрьскому решению министерства внутренней безопасности, которое запретило госучреждениям пользоваться продукцией «Лаборатории Касперского», поскольку ее могут использовать российские спецслужбы для получения доступа к американским правительственным документам. В июле компанию исключили из списка авторизованных поставщиков для госзакупок, официальный запрет был оформлен позже. В декабре «Лаборатория Касперского» подала в суд, в этом же месяце был закрыт офис компании в Вашингтоне.
«Лаборатория Касперского» — участник приоритетного проекта Минэкономразвития «Поддержка частных высокотехнологических компаний-лидеров» («Национальные чемпионы»), нацеленного на оказание поддержки компаниям различных отраслей, имеющих существенный потенциал завоевания отечественного и зарубежных рынков.