Финансовые угрозы

Популярность шифровальщиков привлекла внимание организованных преступных групп, с помощью этих зловредов они организуют целевые атаки на крупные организации для хищения денежных средств. В конце 2016 года мы выявили рост числа атак, главной целью которых был запуск шифровальщика на узлах сети и серверах организации.

В феврале 2017 г. мы опубликовали исследование о бесфайловых атаках на корпоративные сети. Это вторая публикация о данной угрозе. Здесь мы опишем методы и приемы, которые использовали злоумышленники на второй стадии проведения атак на финансовые организации – по сути мы расскажем, как именно злоумышленники выполняли удаленное администрирование банкоматов.

В этом году мы обнаружили новое семейство программ-вымогателей, которое использовалось в целевых атаках на организации. После проникновения в корпоративную сеть злоумышленники использовали утилиту PsExec для установки вымогателя на все рабочие станции и серверы предприятия. Кроме того, киберпреступники использовали известную программу-вымогатель Petya для шифрования данных пользователей.

В 2016 году киберпреступники охотились за крупной рыбой, но это не значит, что мелкая рыбешка может чувствовать себя в безопасности.

В 2016 году рост числа рекламных троянцев, которые могут использовать права суперпользователя, продолжился. На протяжении всего года это было угрозой номер 1 и поводов к изменению этой тенденции мы пока не видим.

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами.

С января по сентябрь 2016 года количество атак на компании с применением вредоносных программ-вымогателей выросло втрое. Принимая во внимание бурный рост сервисов «вымогатель как услуга» и запуск проекта NoMoreRansom, «Лаборатория Касперского» назвала вредоносные программы-вымогатели своей ключевой темой на 2016 год.

2016 год вместил в себя многое – от огромных ботнетов, состоящих из устройств интернета вещей, и вредоносных программ-вымогателей до целевых кибершпионских атак, кражи средств у финансовых организаций, кампаний «хактивистов» и многого другого. В разделах Развитие угроз и Статистика представлен подробный обзор года, а здесь вы найдете краткую информацию.

События, которые формировали ландшафт информационных угроз в 2016 г., были связаны с мобильными и финансовыми угрозами, целевыми атаками и проблемами «Интернета вещей». В промышленном секторе происходили утечки данных и инциденты, связанные с заражением критической инфраструктуры.

Пролетел еще один год, и, судя по событиям, произошедшим в сфере информационной безопасности, он войдет в историю. Это был год драм, интриг и эксплойтов. Сегодня, мысленно возвращаясь к наиболее нашумевшим историям года, мы пытаемся заглянуть в будущее и дать прогноз, каким будет ландшафт угроз в 2017 году.

Многие мобильные банкеры могут блокировать устройство с целью вымогательства денег у пользователя. Но одна из обнаруженных нами модификаций мобильного банковского троянца Trojan-Banker.AndroidOS.Faketoken пошла еще дальше – она может зашифровать пользовательские данные. Помимо этого, найденная модификация атакует более 2000 финансовых приложений со всего мира.

Самым популярным мобильным троянцем в третьем квартале 2016 года стал Trojan-Banker.AndroidOS.Svpeng.q. За квартал количество атакованных им пользователей выросло практически в 8 раз.

Самым популярным троянцем-вымогателем в третьем квартале все стал Trojan-Ransom.AndroidOS.Fusob.h. С ним столкнулись более 53% пользователей, атакованных мобильными вымогателями.

В сентябре 2016 года мы обнаружили новую версию Gootkit, которая имела характерную и легко узнаваемую особенность – дополнительную проверку переменной окружения «crackme» в теле загрузчика. Но что не менее интересно, в ходе исследования нам удалось получить доступ к C&C серверу бота, включая полное дерево каталогов и файлов, а также их содержимое.

Чтобы шифрование Polyglot выглядело как результат атаки CTB-Locker, вирусописатели создали с нуля практически полную копию CTB-Locker. Но мы нашли ошибки в реализации криптографической схемы Polyglot, и это позволило нам восстанавливать зашифрованные данные.