Отчет о работе KSN: троянцы-вымогатели в 2016–2017 годах

Настоящий отчет основан на обезличенных данных, обработанных системой Kaspersky Security Network (KSN). Данный отчет базируется на количестве уникальных пользователей продуктов «Лаборатории Касперского» с включенной функцией KSN, которые столкнулись с вирусами-вымогателями хотя бы один раз в течение данного периода, а также и на изучении экспертами «Лаборатории Касперского» характера угроз вирусов-вымогателей.

Отчет об эволюции угроз данного типа охватывает период с апреля 2016 г. по март 2017 г. и сравнивает полученные показатели с данными за период с апреля 2015 г. по март 2016 г.

Краткий обзор эволюции вирусов-вымогателей за прошедший год

Рост популярности SaaS-модели

В мае 2016 года «Лаборатория Касперского» обнаружила троянец-вымогатель Petya, который не только зашифровывает данные, хранящиеся на компьютере, но и переписывает главную загрузочную запись (MBR) жесткого диска, что не позволяет загрузить операционную систему на инфицированных компьютерах.

Данный зловред является ярким примером использования модели SaaS («ПО как услуга»), когда авторы вируса-вымогателя распространяют свой вредоносный продукт через множество дистрибьюторов, получая при этом долю с прибыли. Чтобы исправно получать часть своего дохода, авторы Petya внедрили в свой зловред некие «механизмы защиты», которые не позволяют использовать код зловреда Petya без их разрешения.

Использование модели SaaS для распространения троянца-вымогателя не является нововведением – этот подход продолжает развиваться, и все больше авторов троянцев-вымогателей распространяют свои вредоносные продукты именно так. Этот способ оказался очень привлекательным для преступников, у которых не хватает навыков, ресурсов или желания разрабатывать свои собственные зловреды.

Яркими примерами вымогателей, которые появились в 2016 году и использовали данную модель, стали Petya/Mischa и Shark, который позже был переименован в Atom.

Рост количества целевых атак

В начале 2017 года исследователи «Лаборатории Касперского» обнаружили опасную тенденцию, набирающую обороты: все больше и больше киберпреступников перешли от атак на рядовых пользователей к целевым вредоносным атакам на организации.

Целями этих атак стали, прежде всего, финансовые организации по всему миру. Экспертам «Лаборатории Касперского» встречались случаи, когда вымогатели требовали более полумиллиона долларов.

Это тревожная тенденция: злоумышленники-вымогатели начали крестовый поход против новых жертв, которые приносят бóльшую прибыль. На самом деле, потенциальных жертв, конечно, гораздо больше, и атаки троянцев-вымогателей на некоторых из них способны привести к еще более катастрофическим последствиям.

Анализ, представленный в данном отчете, – это попытка оценить масштабы проблемы и отметить возможные причины появления новых вариантов вымогателей по всему миру.

Основные цифры

• Общее количество пользователей, столкнувшихся с троянцами-вымогателями в период с апреля 2016 года по март 2017 года, выросло на 11,4% по сравнению с предыдущими 12 месяцами (с апреля 2015 года по март 2016 года) – с 2 315 931 до 2 581 026 пользователей по всему миру.
• Доля пользователей, хотя бы один раз столкнувшихся с троянцами-вымогателями, из общего числа пользователей, столкнувшихся со зловредами, уменьшилась почти на 0,8 процентных пунктов – от 4,34% в 2015–2016 гг. до 3,88% в 2016–2017 гг.
• Среди тех, кто столкнулся с троянцами-вымогателями, доля тех, кто столкнулся с шифровальщиками, возросла на 13,6 процентных пунктов – от 31% в 2015–2016 гг. до 44,6% в 2016–2017 гг.
• Количество пользователей, подвергнувшихся атаке шифровальщиков, возросло почти вдвое — от 718 536 в 2015–2016 гг. до 1 152 299 в 2016–2017 гг.
• Количество пользователей, подвергнувшихся атаке мобильных троянцев-вымогателей, уменьшилось на 4,62% – с 136 532 в 2015–2016 гг. до 130 232 2016–2017 гг.

Выводы и прогнозы

Основываясь на статистике и тенденциях, описанных в данном отчете, мы пришли к следующим выводам.

• Злоумышленники-вымогатели начинают бороться друг с другом. Это является признаком возрастающей конкуренции между бандами вымогателей.
• Территориальная статистика показывает, что атакующие переключились на страны, которые ранее эта проблема не затрагивала. В этих странах пользователи не подготовлены к противостоянию троянцам-вымогателям, а конкуренция между преступниками не так высока.
• Вызывает беспокойство то, что вредоносные атаки становятся все более нацеленными на финансовую инфраструктуру по всему миру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации потенциально более прибыльными, чем массовые атаки на рядовых пользователей.
• Наши данные показывают, что троянцы-вымогатели для ПК все еще находятся в стадии активного роста, хотя темпы этого роста замедлились.
• Также, в рассматриваемый период времени уменьшилось количество пользователей, на которых были совершены мобильные атаки троянцев-вымогателей. Возможно, это является результатом успешного сотрудничества поставщиков защитных решений, правоохранительных органов и прочих организаций. Также, вероятно, на это повлиял рост осведомленности об угрозах и освещение наиболее известных мошеннических кампаний в СМИ.
• Другой причиной описанной тенденции является совместная работа игроков индустрии безопасности для защиты пользователей от шифровальщиков-вымогателей.
• Несмотря на то, что, как показывает статистика, атаки троянцев-вымогателей носят массовый характер, большинство мобильных атак осуществляется лишь несколькими группами зловредов, большая часть которых распространяется через партнерские программы. Ситуация с вымогателями на ПК диаметрально противоположная: множество злоумышленников осуществляют узконаправленные атаки.

Учитывая это, мы считаем, что текущий характер угроз троянцев-вымогателей позволяет точно спрогнозировать то, как будет прогрессировать данный вид угроз в будущем.

Прогнозы

• Троянцы-вымогатели никуда не денутся. Стабильный рост и без того высокого уровня угроз может свидетельствовать о тревожной тенденции – о переходе злоумышленников от хаотичных и единичных попыток занять свое положение в сфере вымогательства к завоеванию стабильной доли этого рынка и увеличению ее объема.
• Учитывая признаки растущей конкуренции на рынке троянцев-вымогателей, модель SaaS, применяемая к этим зловредам, становится все более популярной – и это привлекает новых злоумышленников.
• Троянцы-вымогатели усложняются и становятся более разнообразными. При помощи растущей и все более эффективной подпольной экосистемы злоумышленники предлагают свои вредоносные решения «под ключ» тем, у кого недостаточно навыков, ресурсов или времени для создания собственного решения.
• В результате развития инфраструктуры для взаимодействия между преступниками, появляются простые узконаправленные утилиты для совершения целевых атак и вымогательства денег, что придает атакам более рассредоточенный характер. Данная тенденция уже сформировалась и, скорее всего, будет наблюдаться в будущем.
• Международные инициативы по защите пользователей от шифровальщиков-вымогателей будут распространяться все шире.

Борьба с проблемой

Технологии. «Лаборатория Касперского» предлагает бесплатную утилиту для борьбы с троянцами-вымогателями, которую могут скачать и использовать любые организации, вне зависимости от уже установленных у них защитных решений.

Сотрудничество. Проект «No More Ransom». 25 июля 2016 года Национальная полиция Нидерландов, Европол, Intel Security и «Лаборатория Касперского» объявили о старте проекта «No More Ransom» – некоммерческой инициативы по объединению общественных и частных организаций с целью информирования людей об опасности троянцев-вымогателей и оказания помощи по восстановлению данных. Сегодня онлайн-портал содержит 50 утилит для расшифровки данных, семь из которых были написаны «Лабораторией Касперского». С момента старта проект более 29 000 пользователей по всему миру смогли бесплатно расшифровать свои файлы, благодаря утилитам «Лаборатории Касперского». На текущий момент портал «No More Ransom» поддерживает 14 языков: английский, нидерландский, французский, итальянский, португальский, немецкий, испанский, словенский, финский, иврит, украинский, корейский и японский.

«Отчет о работе KSN: троянцы-вымогатели в 2016–2017 годах» (полный отчет на английском языке):