Шифровальщики длиною в год: «Лаборатория Касперского» о том, как развивались самые проблемные зловреды 2016 года
2016 год имеет все шансы войти в историю как год расцвета программ-шифровальщиков и вымогателей, которые «захватывали в плен» данные и устройства как отдельных пользователей, так и целых компаний. «Лаборатория Касперского» выяснила, что интенсивность атак с использованием этих зловредов за последние 12 месяцев увеличилась как минимум вдвое, количество новых модификаций шифровальщиков выросло в 11 раз, а среди троянцев-вымогателей появилось 62 новых семейства. Кроме того, в киберпреступном мире все большую популярность набирает «сдача в аренду» вымогателей в виде услуги для тех злоумышленников, у которых не хватает опыта или желания разрабатывать программы самостоятельно.
В начале года решения «Лаборатории Касперского» блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей – каждые 20 секунд. К концу года эти показатели кардинально изменились: теперь бизнес сталкивается с программами-вымогателями приблизительно раз в 40 секунд (то есть в три раза чаще), а отдельные пользователи – раз в 10 секунд (то есть вдвое чаще).
Увеличение числа атак шифровальщиков на бизнес привело к тому, что 67% компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа. И хотя от программ-вымогателей страдают практически все отрасли, некоторые индустрии в 2016 году приняли на себя больший удар: жертвами шифровальщиков стала практически четверть компаний, работающих в сфере образования, IT и телекоммуникаций, развлечений и СМИ, а также в финансовом секторе.
Средний размер выкупа за возвращение доступа к данным сегодня составляет $300, однако некоторые киберпреступники требовали и получали от пользователей гораздо больше. Большинство злоумышленников предпочитает оплату в биткойнах, наиболее «профессиональные» из них даже оказывали пользователям консультационную и техническую поддержку, помогая приобрести криптовалюту.
Эксперты «Лаборатории Касперского» отмечают, что шифровальщики становятся сложнее и разнообразнее. Так, появились вымогатели, меняющие тактику при встрече с финансовым ПО – к примеру, троянец Shade, попадая на компьютер сотрудника финансового департамента, вместо стандартного шифрования файлов устанавливает в системе шпионскую программу, вероятно, с целью возможной кражи денег в будущем. Помимо этого, все чаще стали встречаться зловреды, которые шифруют не отдельные файлы, а главные файловые таблицы или полностью жесткий диск.
Вместе с тем исследователи заметили, что многие впервые обнаруженные в 2016 году троянцы-вымогатели оказались довольно низкого качества – незамысловатые, с ошибками в коде и банальными опечатками в текстах требования выкупа. Эта тенденция говорит о том, что шифровальщики набирают славу как средство быстрого и легкого заработка, что привлекает к ним внимание менее квалифицированных киберпреступников, не обладающих достаточными навыками для разработки ПО. Кстати, именно эта армия любителей и спровоцировала бурное развитие схемы распространения вымогателей как услуги – в 2016 году все больше вирусописателей предлагали подобных зловредов своим «коллегам по цеху» за определенную плату.
«Программы-вымогатели и шифровальщики – прибыльный киберпреступный бизнес. И противостоять ему можно только при объединении усилий экспертов по информационной безопасности, правоохранительных органов, бизнеса и общественности. Главная задача – сделать так, чтобы злоумышленникам было все труднее проводить свои атаки и получать от них прибыль. Именно на это, например, направлена инициатива No More Ransom, которую мы запустили в этом году совместно с Европолом, полицией Нидерландов и Intel Security – за 6 месяцев этот проект помог почти 6000 пользователей восстановить свои данные и сэкономить в общей сложности более 1,5 миллиона долларов, которые не пошли на выкуп злоумышленникам. Так что 2016 год запомнится, пожалуй, не только как год расцвета шифровальщиков, но и как год, когда в мире началось организованное противостояние этой угрозе», – рассказывает Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».