Positive Technologies выявила 10 популярных техник атак, используемых вредоносным ПО в России

В 2023 году использование вредоносного ПО стало самым популярным методом компрометации инфраструктуры — доля таких атак составила 60%. В связи с этим эксперты Positive Technologies провели исследование и выяснили самые популярные схемы доставки злоумышленниками вредоносного ПО в инфраструктуру компании. Исследование показало, что чаще всего злоумышленники используют для этого электронную почту, скрывая полезную нагрузку в файловых архивах. Попадая на устройства жертв, зловредные программы в большинстве случаев эксплуатируют легитимные функции операционных систем, чтобы провести разведку, обойти инструменты защиты и закрепиться в инфраструктуре.

В рамках исследования эксперты проанализировали поведение вредоносных программ, распространенных на территории России, сопоставили эти действия с техниками MITRE ATT&CK и выделили десять самых популярных.

Так, наиболее распространенной стала техника «Изучение открытых приложений», когда вредоносное ПО пытается получить список открытых окон приложений, чтобы собрать информацию об инструментах защиты и найти ценные конфиденциальные данные. В контексте второй техники — «Ослабление защиты» — ВПО модифицирует компоненты инфраструктуры жертвы, что позволяет нарушить работу средств безопасности и их механизмов. Эксперты пришли к выводу, что программы злоумышленников часто используют легитимные функции операционной системы, чтобы провести разведку на скомпрометированном устройстве, выполнить зловредные действия и ослабить защиту. Третья по популярности техника — «Обход виртуализации или песочницы», когда с помощью различных проверок ВПО умеет определять, в какой среде оно выполняется, и при обнаружении способно изменить свое поведение, чтобы скрыть свою вредоносность.

Среди используемых типов ВПО лидирующую позицию занимают программы-шифровальщики. В 2023 году доля атак с их применением составила 57%: чаще всего жертвами становились медицинские учреждения (18%), организации в сфере науки и образования (14%) и промышленные предприятия (12%). Кроме того, злоумышленники активно используют шпионское ПО: аналитики Positive Technologies отмечают, что популярность этого типа вредоносных программ в 2023 году выросла с 12% до 23% по сравнению с предыдущим годом. Среди семейств шпионского ВПО наиболее распространенными являются FormBook и Agent Tesla.

Самый распространенный канал доставки ВПО в системы организаций — электронная почта: в 2023 году больше половины (57%) атак начинались именно с фишинговых писем. Чтобы повысить успех своих кампаний, злоумышленники маскируют послания под легитимные, опираясь на эмоции людей, например отмечают сообщения как срочные или рассылают уведомления о недошедших письмах, которые могут вызвать любопытство. Так, эксперты Positive Technologies обнаружили у одного клиента рассылку писем под видом претензии с требованием возврата средств.

Для доставки полезной нагрузки злоумышленники обычно используют файловые вложения, прикрепленные к сообщениям: на долю таких кампаний приходится 56% инцидентов. Чаще всего киберпреступники распространяют вредоносные программы через архивы с расширением .zip, .rar, .7z и другими (37%). Этот способ позволяет замаскировать ВПО под легитимные документы или изображения и таким образом скрыть его от средств защиты. Кроме того, злоумышленники нередко используют ссылки в теле писем (43%). В таких случаях вредоносное ПО загружается автоматически в фоновом режиме. Чтобы остаться незамеченными, киберпреступники могут, например, выполнить несколько последовательных переадресаций с одного ресурса на другой и приложить к письму QR-код, который позволит скрыть зловредные URL-адреса.

Для того чтобы обезопасить инфраструктуру компании от вредоносного ПО, в первую очередь сотрудникам необходимо соблюдать базовые требования кибербезопасности — не переходить по подозрительным ссылкам, использовать сложные пароли и двухфакторную аутентификацию. Следует также внедрить продукты информационной безопасности для комплексной защиты компании, в том числе и для проверки результативности работы этих продуктов.

«Обязательный уровень защиты от ВПО — это использование песочниц, которые в изолированной среде проверяют файлы и изучают их поведение. Например, PT Sandbox за счет встроенных алгоритмов машинного обучения обнаруживает продвинутые вирусы и угрозы нулевого дня, а также блокирует проникновение ВПО в контур компании. Еще одна важная мера безопасности — регулярные проверки корректности работы средств защиты почты. Этот процесс можно выстроить автоматически с помощью таких сервисов, как PT Knockin. Решение имитирует атаки, отправляя письма с обезвреженным ВПО, в течение двух минут выдает вердикт о результативности имеющихся инструментов безопасности и подсказывает, как устранить бреши», — прокомментировал Никита Басынин, аналитик исследовательской группы Positive Technologies.