Топ вредоносов за лето

Обычно я стараюсь рассказать о каком-то одном факте или событии. Но сегодня, мой друг, я сделаю исключение. Всё дело в том, что The Hacker News выпустили топ вредоносов за лето. Я немного попыхтел и написал для тебя краткий обзор этой статьи на русском. Если коротко, этим летом в тренде вредоносов были вымогатели, атаки на цепь поставок и бесфайловые атаки.

Про вымогателей мы иногда вспоминаем и в этом блоге. Поэтому сейчас давай поговорим про два других типа атак.

Атаки на цепь поставок

Это внедрение вредоносного кода ещё в процессе разработки ПО. Например, когда ты делаешь приложение для онлайн-оплаты, а оно, кроме номера карточки, «случайно» начинает запоминать и отправлять куда-то cvv каждого клиента.

Бефайловые атаки

Это красиво. Такой вредонос не хранит себя в постоянной памяти устройства, он живёт в оперативке.

Ну а теперь все тренды в подробностях

Вредоносные программы всё чаще используются для обхода средств контроля безопасности. «Специализаций» здесь несколько.

• Во-первых, это изменение хэша для обхода антивирусов.
• Во-вторых, использование шифрованных каналов связи для общения с C2-серверами, то есть, с серверами, которые отвечают за раздачу указаний вредоносам.

Нехило развиваются и такие зловреды, которые умеют выявлять механизмы искусственного интеллекта, машинного обучения и песочницы, сознательно замедляя их работу. Иными словами, малварь способна сообразить, что попала в руки к исследователям, и начать сбивать их с толку.

Особняком стоят бесфайловые зловреды, о которых мы уже говорили, и LOTL-атаки – это атаки, которые проводятся с помощью локальных приложений во вредоносных целях.

Кроме того, хакеры стали частенько арендовать чужие готовые ботнеты, чтобы использовать их для доступа к большому количеству машин. Такую историю, когда на твой комп незаметно влезает бот-зловред, а потом через него приходит другой злоумышленник, называют  Jack-in-the-box в квадрате. То есть тут такая логика, что из коробки выскакивает один чёрт, а из него выскакивает второй.

Из самых экзотических и смертоносных вредоносов The Hacker News выделили Astaroth. Названный в честь демона, он обходит привычные механизмы защиты по схеме, выявленной специалистами Microsoft, и похищает учётные и финансовые данные пользователей. 76% европейских и бразильских компаний, проверившихся на возможность заражения, оказались не готовы к защите от этого гада.

Кроме Astaroth в статье говорится и о вымогателе Sodinokibi, который заливается в систему под видом сервиса с провайдеров услуг, попавших под атаку на цепь поставок. Подробнее о  Sodinokibi можно прочитать здесь.

Список «успешных» вымогателей продолжают GermanWiper и MegaCortex. Первый зловред, следуя своему названию, атакует в основном немецких пользователей. Главной фишкой этого шифровальщика является то, что он не является шифровальщиком. Эта зараза просто обнуляет все «зашифрованные» файлы и вымогает деньги за ключ, который уже никак не поможет жертве. Подробнее о поганце можно прочитать здесь.

Второй вымогатель действительно является шифровальщиком. Для своей тёмной работы зловред использует шифр AES. Подробное досье на него ты сможешь найти здесь.

Русскоязычная Advanced Persistent Threat (Сложная постоянная угроза, APT) группировка Silence использует весьма продуманную схему. Её боты-вредоносы используют шифрованные команды, трафик общения с C2-серверами туннелируется, что позволяет сохранять невидимость для большинства систем защиты. Вообще, APT-угрозы опасны в первую очередь для крупных организаций и имеют своей конечной целью получение доступа к защищённым учётным записям руководителей. Но для того, чтобы подобраться к главе компании поближе, злоумышленники заражают машины пользователей, находящихся с ними в одной рабочей сети. Говорят, что Silence «наполучали доступ» на 4 миллиона долларов за прошлый год.

Ну и напоследок, возвращаясь к Jack-in-the-box в квадрате, авторы статьи упоминают малварь Turla. Этот зверь захватил ботнет связанной с Ираном группы Oilrig APT и через него начал атаковать правительственные ресурсы разных стран, используя как LOTL-атаки, так и собственные механизмы. Жертвами Turla стали министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.

Если бы мне было лет на 20 меньше, тут бы я написал «вот так я провел это лето».  Здесь, друг мой, сложно подвести какую-то мораль. Скажу только, что, как видишь, зло не дремлет. Оно развивается и постоянно ищет новые пути залезть в нашу жизнь. Чтобы не допустить это, нужно быть бдительным.