Блог компании «Лаборатория Касперского»

Майнинг, фишинг, USB: три самых знаковых типа киберпреступлений этого года

С каждым годом корпоративный сектор привлекает все большее внимание злоумышленников. Конечно, основной фокус — на финансовом секторе, однако с развитием майнинга прямую прибыль злоумышленники могут извлечь из заражения компании, относящейся к любому другому профилю.
Ниже три знаковых истории, каждая из которых отражает определенную тенденцию. Для полноты картины их прокомментировал эксперт «Лаборатории Касперского» участвующий в разработке «Kaspersky Security для бизнеса».

Майнинг за корпоративный счет
Один из последних трендов информационной безопасности — распространение криптомайнеров для добычи криптовалюты на компьютерах частных пользователей и в сетях компаний. По статистике «Лаборатории Касперского», криптомайнеры сегодня — наиболее популярный тип угроз. За год фиксируется порядка 2,7 млн атак с использованием криптомайнеров (это порядка 4% в общем числе инцидентов).
В качестве примера можно рассмотреть скрытый майнинг при помощи PowerGhost — инструмента, ориентированного именно на бизнес. Первые сообщения о нем появились в середине лета 2018.
Любопытно, что PowerGhost может распространяться сразу несколькими способами, один из которых — через ту же уязвимость, что и нашумевший год назад шифровальщик WannaCry. Это уязвимость в протоколе SMBv1, присутствующем во всех Windows-системах, начиная с Windows XP, и для заражения через нее сотрудникам организаций не надо заходить на подозрительные сайты, переходить по ссылкам в фишинговых письмах или иным образом способствовать распространению вредоносного инструмента.
Проникая на очередную рабочую станцию через известные уязвимости или инструмент удаленного администрирования (Windows Management Instrumentation), PowerGhost «окапывается» на ней, выкачивая основные модули из сети, и начинает незаметный майнинг. Параллельно PowerGhost предпринимает попытки распространения на другие компьютеры локальной сети с помощью данных учетных записей в зараженной системе.
PowerGhost не ворует пользовательские данные и не вымогает деньги за их возвращение, однако он отбирает ценные вычислительные ресурсы. Для зараженной компании это выливается в повышенные счета за электричество (по подсчетам «Лаборатории Касперского», расход электроэнергии среднестатистического рабочего места рядового сотрудника повышается в пять раз) и износ оборудования. Причем запускается такой «скрытый майнинг» как на рабочих станциях, так и на серверах. К сожалению, в денежном выражении подсчитать ущерб от заражения PowerGhost довольно сложно.
PowerGhost очень ловко обходит корпоративную защиту: в некоторых своих реализациях проверяет, не запускают ли его в «песочнице», и не пишет файлы на жесткий диск, чтобы прятаться от антивирусов, да и самого пользователя.
Естественно, PowerGhost — не единственный подобный инструмент. В последнее время аналитики отмечают целый всплеск так называемых «бестелесных» (бесфайловых — fileless) зловредов. Кстати, PowerGhost позволил отметить еще одну тенденцию: вслед за шифровальщиками скрытые майнеры движутся в сторону бизнеса, поскольку здесь потенциальная выгода больше. Если этот тип угроз продолжит свое развитие «по стопам предшественника», уже в ближайшее время нужно будет бояться целенаправленных атак майнеров на определенные организации, имеющие большие вычислительные мощности.
Кстати, криптомайнеры также не брезгуют распространением через съемные носители. По данным «Лаборатории Касперского», майнеры на флешках обнаруживались с 2015 года. А самый популярный из них — Trojan.Win64.Miner.all. В 2018 году на его долю приходится чуть больше 9% заражений через USB, и с каждым годом она растет.
Эксперт «Лаборатории Касперского»
В первую очередь программа-майнер должна обмениваться информацией со специализированными хостами — пулами майнеров, принимать и отправлять данные о проделанной работе. Как правило, эти соединения хорошо видны на корпоративных шлюзах и прокси-серверах — через равные промежутки времени порции пакетов направляются к одним и тем же серверам со «странными» названиями. Вторым признаком могут стать жалобы пользователей на «тормоза» операционной системы — майнинг требует значительных вычислительных мощностей. Современные антивирусы способны обнаруживать и блокировать работу майнеров различными методами и компонентами, например, с помощью белых списков сетевых экранов и инструментов, контролирующих запуск программ. Дополнительно администраторы корпоративных сетей могут проводить инвентаризацию программного обеспечения и таким образом находить нежелательные программы-майнеры и скрипты как непосредственно на конечных узлах, так и с помощью систем, анализирующих трафик корпоративной сети.
Небезопасный USB — Dark Tequilla
Переносные USB-носители начали массово использоваться около 15 лет назад. Благодаря своему удобству они привлекли внимание не только рядовых пользователей, но и злоумышленников, предложивших целый спектр способов переноса с помощью USB вредоносных программ. И хотя сегодня гораздо проще послать файлы по сети, атаки через USB не потеряли свою актуальность. Люди все так же пренебрегают правилами безопасности при работе со съемными носителями, и это только в 2018 году привело к заражению рабочих станций приблизительно четырех миллионов пользователей.
Один из последних примеров — Dark Tequila — целая кампания, жертвами которой стали клиенты нескольких банков в Мексике и в других странах Латинской Америки.
Dark Tequila известна специалистам по безопасности с 2013 года. Однако зловред так хитро прячется, что данных о масштабах глобального заражения нет до сих пор.
Заражение происходит через вредоносное ПО на USB-носителе или посредством фишинга. Дальнейшее управление ситуацией идет с C&C-сервера.
Dark Tequila выкачивает необходимые модули с полезной нагрузкой. Обнаружение осложняет то, что активация этих модулей осуществляется только при выполнении определенных условий.
К примеру, при подозрении на обнаружение (если фиксируется запуск на виртуальной машине) выполняется удаление файлов, ранее созданных Dark Tequila в системе.
Анализ показал, что целью злоумышленников, распространивших Dark Tequila, являются данные для доступа к ресурсам банковского онлайн-обслуживания, бронирования авиабилетов, облачных инструментов для бизнеса (Office 365, электронной почты, Amazon, Dropbox и других). Отдельный модуль Dark Tequila отвечает за распространение зловреда на подключенные USB-устройства (при этом создается исполняемый файл, который прописывается в автозапуск).
В Мексике деятельность Dark Tequila привела к компрометации аккаунтов клиентов банковского обслуживания. И технически ничто не мешает зловреду начать свою активность за пределами Латинской Америки.
Dark Tequila — далеко не единственный троян, распространяющийся через USB. Настоящий шум вокруг такого способа распространения в свое время поднял троян Stuxnet, которым были заражены компьютеры предприятий по обогащению урана в Иране, не подключенные к интернету. Кстати, именно на развивающихся рынках популярны атаки через съемные носители — Вьетнам, Алжир, Индия. Регистрируются подобные случаи и в России, Бразилии, в то время как в Европе они единичны.
Отличительная особенность USB-троянов еще и в том, что многие из них умеют довольно долго таиться в системе. Это значит, что без надлежащих инструментов защиты и обнаружения стоит подвергать сомнению безопасность любой системы, куда когда-либо подключался съемный носитель.
Эксперт «Лаборатории Касперского»
Не всегда пользователи осознают, что какие-то привычные устройства или гаджеты могут одновременно являться носителями вредоносных программ, способных скрытно заразить систему без участия пользователя. Поэтому USB еще долго будет одним из основных каналов заражения в силу своего массового использования.

Разумеется, современные средства антивирусной защиты содержат в своем составе специализированные компоненты для контроля устройств, в том числе подключаемых по USB. В остальном: правильная настройка политик, своевременный аудит и обязательная проверка при подключении позволяют решить эту проблему
Мобильный банк под угрозой — Asacub
Пока банки активно рекламируют мобильные приложения, в том числе для юридических лиц, злоумышленники разрабатывают инструменты, которые позволяют шпионить за пользователями таких приложений и даже красть средства с их счетов. Яркий представитель такого типа угроз — троян Asacub, версии которого известны с 2015 года.
В задачи первых известных версий Asacub входил шпионаж за пользователями, было несколько версий с фишинговыми экранами, однако впоследствии в трояна были интегрированы способности красть деньги у пользователей Android (имеющих соответствующее банковское приложение).
Распространение Asacub осуществлялось через фишинговые сообщения, которые содержали ссылку якобы для загрузки картинки. Но по факту по ссылке загружался файл APK, содержащий троян. Естественно, установка происходила, только если ранее владелец устройства разрешил установку пакетов из неизвестных источников.
Задача Asacub — встроиться в систему в качестве приложения для обработки входящих SMS по умолчанию. Это открывает злоумышленникам «дверь» к банковскому счету, который можно опустошать с подтверждениями по SMS незаметно для владельца, например, через SMS-переводы или перехват одноразовых паролей.
Любопытно, что троян даже следит за тем, чтобы пользователь не обнаружил кражу. У него предусмотрена отдельная команда, запрещающая запуск приложения для мобильного банка (чтобы не было шансов вовремя заметить уменьшение баланса).
В отличие от троянца, описанного выше, Asacub атакует преимущественно пользователей из России. «Лаборатория Касперского» насчитала уже более 220 тыс. зараженных устройств. Троян построен так, чтобы уводить деньги со счетов клиентов одного крупного банка. При этом Asacub — не единственный представитель этого «рынка». Параллельно работают сразу несколько «семейств» банковских троянов, например, Svpeng и Faketoken.
Еще один показательный момент — это долгое «время жизни» Asacub. Хотя о нем стало известно еще в 2015 году, он до сих пор портит жизнь банкам и их клиентам.
Эксперт «Лаборатории Касперского»
По нашим данным, интерес со стороны мошенников к развитию подобного способа обогащения пока что растет, о чем свидетельствует ежегодное увеличение числа мобильных зловредов. При этом растет и осведомленность банков, со своей стороны внедряющих современные продукты защиты для обеспечения как своей собственной безопасности, так и безопасности клиентов. Со своей стороны они используют специализированные системы защита от так называемого фрода, позволяющая определить, действительно ли пользователь управляет мобильным устройством. Однако помимо банка о безопасности в данном случае должны думать и сами пользователи. Игнорируя это, они переходят по подозрительным ссылкам, устанавливают программы из недоверенных источников, предоставляют им любые разрешения, а иногда и самостоятельно «взламывают» свои же собственные мобильники для обхода ограничений со стороны производителя (подобные «операции» известны под терминами Rooting и Jailbreak — получение прав суперпользователя), естественно, не устанавливая даже бесплатное антивирусное ПО. Получить контроль над устройством такого пользователя намного проще. А после закрепления в операционной системе мобильника зловред может управлять всеми его ресурсами: копировать информацию, делать скрытое фото, снимать видео, записывать звук, отправлять SMS и так далее, в зависимости от возможностей гаджета
Комментарии 1
    +1
    offtop: борьба с причиной прибыли не приносит.

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.