Разоблачение процветающего рынка программ-вымогателей

Разработчик и поставщик услуг по управлению идентификацией компьютерной техники Venafi 3 августа объявил о результатах исследования программ-вымогателей, распространяемых с помощью вредоносных макросов .

Исследование проведено в сотрудничестве с компанией по криминальной разведке Forensic Pathways в период с ноября 2021 года по март 2022 года. С помощью поисковой системы Forensic Pathways Dark эксперты проанализировали 35 млн. URL-адресов в даркнете, в том числе торговые площадки и форумы.

В результате было обнаружено 475 веб-страниц со сложными программами-вымогателями и услугами, при этом несколько известных групп активно продвигали программы-вымогатели как услугу ( Ransomware-as-a-Service, RaaS ).

• 87% программ-вымогателей были доставлены с помощью вредоносных макросов для заражения целевых систем;
• В ходе анализа торговых площадок и форумов было выявлено 30 различных «брендов» программ-вымогателей;
• Многие продаваемые штаммы программ-вымогателей, такие как Babuk , Darkside / BlackCat , Egregor и HiddenTear , успешно использовались в крупных атаках;
• Программы, используемые в «громких» атаках, имеют более высокую цену за сопутствующие услуги. Например, самый дорогой листинг стоит $1262 за настроенную версию программы-вымогателя Darkside, которая использовалась в известной атаке на Colonial Pipeline в 2021 году;
• Также может продаваться и исходный код программ-вымогателей. Например, исходный код Babuk продается за $950, а код Paradise стоит $593.

Исследование также выявило широкий спектр услуг и инструментов, которые помогают неопытным и начинающим хакерам запускать вымогательские атаки. Наиболее продаваемыми услугами являются исходный код, услуги сборки, пользовательские услуги разработки и пакеты программ-вымогателей, которые включают пошаговые руководства. Услуги по сборке программ обычно имеют широкий ценовой диапазон: от $0,99 за программу-вымогатель Lockscreen до более $900.

Эксперты порекомендовали организациям внедрить процесс подписи кода при управлении идентификацией компьютеров, который устраняет угрозу программ-вымогателей с поддержкой макросов.

По словам вице-президента по стратегии безопасности и анализу угроз Venafi Кевина Бочека, использование сертификатов подписи кода для аутентификации макросов означает, что любые неподписанные макросы не могут выполняться, что останавливает атаки программ-вымогателей.

Бочек также добавил, что этот способ повысит защиту бизнеса, особенно в банковском деле, страховании, здравоохранении и энергетике, где макросы и документы Office используются каждый день для принятия решений.

В феврале 2022 года Microsoft решила заблокировать макросы по умолчанию в Access, Excel, PowerPoint, Visio и Word, но позже компания отменила это решение и вернула запуск макросов , не предупредив об этом пользователей. Затем в июле Microsoft снова вернула функцию блокировки макросов в документах , загруженных из Интернета.