Многофункциональные зловреды стали популярнее
Среди киберпреступников растет интерес к многофункциональным зловредам - универсальным вредоносным программам, которые можно модифицировать под практически неограниченное количество задач. К такому выводу пришли специалисты АО "Лаборатория Касперского", выявив рост доли таких зловредов в рамках анализа деятельности ботнетов - сетей из зараженных устройств, которые злоумышленники используют в своих целях, в частности для распространения вредоносного программного обеспечения (ПО).
Как рассказали в пресс-службе "Лаборатория Касперского", анализу подверглись 600 тыс. ботнетов. В результате было обнаружено, что за первую половину 2018 г. доля бэкдоров - зловредов, не имеющих специфического предназначения, но дающих возможность удаленного контроля зараженного устройства, - выросла наиболее заметно по сравнению с другими категориями вредоносных программ.
Если во второй половине 2017 г. количество подобных нелегальных инструментов для удаленного доступа составляло 6,6% от общего числа циркулирующих в ботнетах зловредов, то за первые шесть месяцев этого года количество увеличилось почти вдвое и составило 12,2%. Наиболее распространенным представителем бэкдоров оказался njRAT: эксперты "Лаборатории Касперского" подсчитали, что он стал каждым 20-м файлом, скачиваемым ботами. "Столь широкое распространение связано с разнообразием версий зловреда и простотой настройки собственного варианта бэкдора, что облегчает работу злоумышленникам", - указывают авторы анализа.
Вместе с тем анализ показал, что в первом полугодии заметно выросли доли программ-загрузчиков и майнеров. По его результатам, процентный показатель для первых увеличился с 5% (во второй половине 2017 г.) до 12%, а для вторых - с 2,7% до 5%. "Рост числа загрузчиков говорит о многоступенчатости атак и их растущей сложности, поскольку подобные программы после заражения устройства могут установить любое другое вредоносное ПО с теми функциями, которые нужны злоумышленникам. Майнеры же активно распространяются из-за того, что ботнет все чаще рассматривается как инструмент для генерации криптовалют", - замечают авторы анализа.
Результаты анализа также указали на то, что заметнее всего в первом полугодии снизились доли банковских троянцев (с 22,5% до 13%) и спам-ботов (с 18,9% до 7%). Но, несмотря на это, как отмечается в анализе, эксперты "Лаборатории Касперского" уверены, что говорить об уменьшении общего количества банковских троянцев преждевременно, поскольку они довольно часто доставляются на зараженные устройства программами-загрузчиками, доля которых, напротив, значительно выросла.
"Бэкдоры и другие многофункциональные зловреды получили столь широкое распространение по одной простой причине: владение ботнетом обходится киберпреступникам в приличную сумму, и поэтому они используют любую возможность для извлечения денег из продаваемого или сдаваемого в аренду вредоносного ПО. Ботнет, построенный на многофункциональных зловредах, можно быстро перенастроить в зависимости от задачи, будь то рассылка спама, организация DDoS-атак или распространение банковских троянцев. Однако помимо того, что такое устройство ботнета позволяет его владельцам быстро переключаться между различными "бизнес-моделями", оно также открывает для них возможности пассивного дохода: владелец может просто сдать в аренду весь ботнет целиком", - указал антивирусный эксперт "Лаборатории Касперского" Александр Еремин.
Говоря о результатах анализа "Лаборатории Касперского", разработчик-эксперт Custis Виталий Филиппов заметил, что вывод о том, что именно сейчас выросло число "многофункциональных" ботнетов, некорректен. "Практически все ботнеты имеют функцию доставки на компьютер жертвы произвольного кода и обновлений, а значит, по определению являются многофункциональными. В данном исследовании проверялось поведение файлов, загруженных компьютерами, уже зараженными ПО ботнета, а следовательно, 100% исследованных ботнетов были "многофункциональными", - указал Виталий Филиппов.
При этом он добавил: "А вот из интересных примеров действительно многофункциональных зловредов можно отметить недавно отгремевший VPNFilter, поражавший популярные домашние роутеры. Он умел снимать шифрование с соединений, воровать пароли, доставлять других вредоносов и распространяться самостоятельно, что вообще редкость на сегодняшний день".
Помимо того, Виталий Филиппов обратил внимание на то, что сейчас подхватить зловреда на свое устройство все сложнее, поскольку за безопасностью следят на системном уровне. "При этом не так уж важно, какой зловред перед вами - однофункциональный или многофункциональный. Почти все вирусы сейчас, как в анекдоте, просят установить себя, чтобы потом взломать компьютер. Иными словами, их нельзя назвать полноценными вирусами, так как они не могут распространяться самостоятельно. Для защиты обычному пользователю, как правило, достаточно соблюдать простые правила - не открывать неизвестные файлы типа jpg.exe и не устанавливать подозрительные программы. Почему некоторые пользователи все равно продолжают попадаться на такую удочку - это уже другой вопрос", - отметил Виталий Филиппов.
Руководитель экспертного центра безопасности Positive Technologies Алексей Новиков в разговоре с корреспондентом ComNews обратил его внимание на то, что сегодня вредоносное программное обеспечение (ВПО) стало тем элементом, без которого практически невозможна ни одна кибератака, поскольку оно позволяет решать задачи, связанные с автоматизацией, скоростью проведения, незаметностью атаки. "По нашим данным, в 2017 г. на волне роста ценности криптовалют широкое распространение получило ПО для скрытого майнинга. Среди предлагаемого к продаже ВПО их доля сегодня составляет 20%. При этом в I квартале 2018 г. доля кибератак с применением этого типа ВПО составила 23%. Рост интереса к криптовалютным проектам привел и к более широкому распространению ВПО для кражи данных - стилеров, шпионского ПО, направленного, в частности, на хищение средств с криптокошельков пользователей", - указал Алексей Новиков.
Однако, как далее заметил Алексей Новиков, классификация ВПО на различные виды потеряла свою актуальность уже несколько лет назад. "Сейчас большинство вредоносов модульные. В зависимости от того, куда попадает ВПО, оно загружает дополнительные модули, имеющие соответствующий функционал. Например, существуют трояны, которые при попадании на рабочую машину проверяют, есть ли там ДБО, если находят - загружают модули для кражи денежных средств из этой системы. Многофункциональные зловреды позволяют злоумышленникам максимально монетизировать атаку. Поскольку они сначала заражают машину, а уже потом решают, что с ней делать - к примеру, продать доступ к ней либо использовать ее для организации различных атак", - проинформировал Алексей Новиков.