Согласно отчету «Лаборатории Касперского», количество пострадавших от троянцев, шифрующих файлы, выросло практически вдвое — с 718 536 в 2015–2016 годах до 1 152 299 в 2016-2017. Число пользователей, ставших жертвами всех программ-вымогателей за тот же период выросло на 11,4%: с 2 315 931 до 2 581 026.
Эксперты отмечают опасную тенденцию, набирающую обороты: все больше и больше киберпреступников перешли от атак на рядовых пользователей к целевым вредоносным атакам на организации. Целями этих атак стали, прежде всего, финансовые организации по всему миру.
Это тревожная ситуация, отмечают в "Лаборатории Касперского". Злоумышленники-вымогатели начали крестовый поход против новых жертв, которые приносят бóльшую прибыль. На самом деле, потенциальных жертв, конечно, гораздо больше, и атаки троянцев-вымогателей на некоторых из них способны привести к еще более катастрофическим последствиям.
Недавним примером вредоноса-шифровальщика, поразившего многие компании по всему миру, стал Petya. В мае 2016 года «Лаборатория Касперского» обнаружила этот троянец-вымогатель, который не только зашифровывает данные, хранящиеся на компьютере, но и переписывает главную загрузочную запись (MBR) жесткого диска, что не позволяет загрузить операционную систему на инфицированных компьютерах. Данный зловред является ярким примером использования модели SaaS («ПО как услуга»), когда авторы вируса-вымогателя распространяют свой вредоносный продукт через множество дистрибьюторов, получая при этом долю с прибыли. Чтобы исправно получать часть своего дохода, авторы Petya внедрили в свой зловред некие «механизмы защиты», которые не позволяют использовать код зловреда Petya без их разрешения.
Использование модели SaaS для распространения троянца-вымогателя не является нововведением – этот подход продолжает развиваться, и все больше авторов троянцев-вымогателей распространяют свои вредоносные продукты именно так. Этот способ оказался очень привлекательным для преступников, у которых не хватает навыков, ресурсов или желания разрабатывать свои собственные зловреды.
При этом злоумышленники активно осваивают новые территории. Например, Россия ранее входила в десятку государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями, но по итогам отчетного периода уступила место таким странам, как Турция, Вьетнам и Япония. Доля вымогателей в общем числе заражений мобильными зловредами в России снизилась до 0,88% (в 2015–2016 годах этот показатель составлял 4,91%).
Такое резкое падение можно объяснить двумя факторами. Во-первых, выросло количество атак вредоносного ПО в целом, на фоне которого доля шифровальщиков растворилась. И во-вторых, снизилась активность троянца Small, традиционно атакующего в первую очередь Россию и страны постсоветского пространства.
«Главное, что вызывает беспокойство в связи с ростом атак шифровальщиков, — они становятся все более нацеленными на финансовую и промышленную инфраструктуру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации гораздо более прибыльными, чем массовые атаки на рядовых пользователей. В таком случае целью злоумышленников становятся не только деньги компании, но и ценная информация, которую можно использовать для шантажа или саботажа. Недавние вспышки эпидемий троянцев WannaCry в мае и ExPetr в июне этого года, поразившие тысячи компьютеров коммерческих компаний и правительственных организаций по всему миру, лишь подтверждают наши опасения», — прокомментировал Антон Иванов, антивирусный эксперт «Лаборатории Касперского».
Эксперты прогнозируют, что троянцы-вымогатели никуда не денутся. Стабильный рост и без того высокого уровня угроз может свидетельствовать о переходе злоумышленников от хаотичных и единичных попыток занять свое положение в сфере вымогательства к завоеванию стабильной доли этого рынка и увеличению ее объема.
Учитывая признаки растущей конкуренции на рынке троянцев-вымогателей, модель SaaS, применяемая к этим зловредам, становится все более популярной – и это привлекает новых злоумышленников. Сами вирусы усложняются и становятся более разнообразными. При помощи растущей и все более эффективной подпольной экосистемы злоумышленники предлагают свои вредоносные решения «под ключ» тем, у кого недостаточно навыков, ресурсов или времени для создания собственного решения.
В результате развития инфраструктуры для взаимодействия между преступниками, появляются простые узконаправленные утилиты для совершения целевых атак и вымогательства денег, что придает атакам более рассредоточенный характер. Данная тенденция уже сформировалась и, скорее всего, будет наблюдаться в будущем.
