В 2021 г. выросло количество мошеннических сайтов и инцидентов с троянами-вымогателями

Анализ статистики Dr.Web показал, что в 2021 г. пользователей чаще всего атаковали трояны-загрузчики, которые устанавливали вредоносные программы. Помимо этого, на протяжении всего года пользователям угрожали различные бэкдоры и трояны, предназначенные для скрытого майнинга.

• Trojan.BPlug.3867 – вредоносное расширение для браузера, предназначенное для осуществления веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы;
• Trojan.AutoIt.289, Trojan.AutoIt.961 – утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна. Выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки;
• Tool.BtcMine.2449 – вредоносная программа для скрытого майнинга на устройстве;
• BackDoor.RMS.178, BackDoor.RMS.82 – бэкдор для удаленного управления компьютером;
• Trojan.DownLoader35.65029 – троян для загрузки вредоносного ПО на компьютер жертвы;
• Trojan.MulDrop9.2530, Trojan.MulDrop15.62039 – дроппер, распространяющий и устанавливающий другое вредоносное ПО;
• JS.DownLoader.5684 – троян, написанный на языке JavaScript, предназначенный для загрузки вредоносных программ.

В почтовом трафике в 2021 г. чаще всего попадались различные бэкдоры, трояны-банкеры и другое вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники отправляли в фишинговых рассылках фиктивные формы ввода данных и вредоносные PDF-файлы.

• W97M.DownLoader.2938 – семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ;
• BackDoor.SpyBotNET.25 – бэкдор, написанный на .NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т.д.), завершать процессы, делать снимки экрана;
• JS.IFrame.811 – скрипт, который злоумышленники внедряют в html-страницы. При открытии таких страниц скрипт выполняет перенаправление на различные вредоносные и нежелательные сайты;
• Trojan.SpyBot.699 – многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код;
• Win32.HLLW.Rendoc.3 – сетевой червь, распространяющийся в том числе через съемные носители информации;
• JS.Redirector.407 – вредоносный сценарий на языке JavaScript, размещаемый в коде веб-страниц. Предназначен для перенаправления пользователей на фишинговые или рекламные сайты;
• PDF.Phisher.313 – PDF-документ, использующийся в фишинговой рассылке;
• Exploit.ShellCode.69 – вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882;
• HTML.FishForm.209 – веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленнику;
• JS.Siggen5.40409 – вредоносный сценарий, написанный на языке JavaScript.

В прошлом году в антивирусную лабораторию «Доктор Веб» поступило на 26,6% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.

Динамика регистрации таких запросов на расшифровку файлов

Наиболее распространенные шифровальщики в 2021 г.:

• Trojan.Encoder.26996 – шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20;
• Trojan.Encoder.567 – шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам;
• Trojan.Encoder.29750 – шифровальщик из семейства Limbo/Lazarus. Несет в себе зашитый авторский ключ, применяемый в случае отсутствия связи с управляющим сервером и возможности выгрузить приватную часть сгенерированного ключа;
• Trojan.Encoder.30356 – шифровальщик, написанный на Delphi и известный как Zeppelin Ransomware. Для шифрования файлов использует симметричный алгоритм AES-256, а для защиты закрытого ключа – ассиметричный RSA-2048;
• Trojan.Encoder.11539 – шифровальщик, имеющий множество модификаций, которые отличаются разным набором алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам и для шифрования файлов использует алгоритм AES-256 в режиме CBC.

В течение 2021 г. интернет-аналитики «Доктор Веб» обнаружили множество опасных сайтов, большинство из которых оказались связаны с тематикой QR-кодов. В мае были обнаружены страницы, позволяющие купить любые поддельные документы, в том числе и справки о прививке от коронавируса. Мошенники тщательно пытались замаскировать нелегальную деятельность, публикуя на сайте разоблачающие других жуликов статьи.

В первую очередь, прошедший год показал, насколько оперативно злоумышленники подстраиваются под ту или иную актуальную тематику. Следует ожидать ещё более хитрых мошеннических схем, связанных с ковидом или другими важными темами грядущего года.

Помимо этого, останутся активными рекламные трояны, всевозможные шифровальщики и другое вредоносное ПО. Корпорациям и компаниям в новом году следует уделять повышенное внимание информационной защите. Как показывает практика, пренебрежение правилами цифровой безопасности многократно увеличивает риски компрометации корпоративной сети. Прошлый год запомнился большим количеством «громких» инцидентов с троянами-вымогателями, распространяющимся по модели Ransomware as a Service (RaaS). И эта тенденция продолжит набирать обороты.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365