По меньшей мере 130 различных семейств вымогательского ПО проявляли активность на протяжении 2020 года и первой половины 2021 года, говорится в отчете VirusTotal, основанном на анализе более 80 млн образцов вымогательских программ, загруженных в сервис в указанный период.
При этом чаще всего образцы загружались из Израиля, Южной Кореи, Вьетнама, Китая, Сингапура, Индии, Казахстана, Филиппин, Ирана и Великобритании. Как пояснил инженер по безопасности VirusTotal Винсенте Диаз (Vicente Diaz), высокое число загрузок вовсе не значит, что вышеуказанные страны являются наиболее атакуемыми. Например, высокие показатели Израиля (число загрузок образцов вымогателей из этой страны выросло на 600%) могут быть связаны с тем, что «многие компании [в стране] автоматизируют загрузки» на сервис.
Топ наиболее активных семейств вымогателей возглавил GandCrab (78,5% образцов), в основном за счет высокой активности в период с января по июль 2020 года (во второй половине года активность группировки значительно снизилась). На втором месте оказался вымогатель Babuk (7,61%), за которым следуют Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveton (0,70%).
«В числе топ 10 семейств вымогателей мы видим наличие wannacry. Возможно, это остатки старых детектирований, которые все еще актуальны для некоторых текущих семейств вымогателей. Тем не менее, мы не считаем, что это свидетельствует о новой волне атак wannacry», — отмечается в отчете.
Что касается наиболее атакуемых систем, первенство в данной категории принадлежит ОС Windows – 95% обнаруженных образцов являлись исполняемыми файлами для Windows или DLL-библиотеками. При этом доля вредоносов для Android составила всего 2,09%. Кроме того, в середине 2020 года был обнаружен вредонос EvilQuest, атакующий Apple Mac.
Как отмечается, примерно 5% проанализированных образцов были связаны с эксплоитами, в основном для уязвимостей повышения привилегий или удаленного выполнения кода в Windows.
Практически все десять наиболее активных семейств вымогателей задействовали различные вредоносные программы, такие как Emotet, Zbot, Dridex, Gozi или Danabot, а также инструменты для передвижения по сети (Mimikatz и Cobaltstrike) и десятки троянов для удаленного доступа (Phorpiex, Smokeloader, Nanocore, Ponystealer и пр.).
VirusTotal – принадлежащий Google бесплатный сервис, предоставляющий сведения о репутации и контексте угроз, помогающий анализировать подозрительные файлы, URL, домены и IP-адреса для выявления киберугроз.