Журнал "Директор по безопасности" Август 2020 | Page 10

АНАЛИТИКА
АКТУАЛЬНЫЕ
КИБЕРУГРОЗЫ:
I квартал 2020 года
ИССЛЕДОВАНИЕ КОМПАНИИ
Исследование содержит
информацию об актуальных
угрозах информационной
безопасности, основанную
на собственной экспертизе
компании Positive Technologies,
результатах многочисленных
расследований, а также на данных
авторитетных источников.
БОЛЬШИНСТВО КИБЕРАТАК НЕ ПРЕ-
ДАЕТСЯ ОГЛАСКЕ ИЗ-ЗА РЕПУТАЦИ-
ОННЫХ РИСКОВ, В СВЯЗИ С ЭТИМ
ОЦЕНИТЬ ТОЧНОЕ ЧИСЛО УГРОЗ НЕ
ПРЕДСТАВЛЯЕТСЯ ВОЗМОЖНЫМ ДАЖЕ
ДЛЯ ОРГАНИЗАЦИЙ, ЗАНИМАЮЩИХ-
СЯ РАССЛЕДОВАНИЕМ ИНЦИДЕНТОВ
И АНАЛИЗОМ ДЕЙСТВИЙ ХАКЕРСКИХ
ГРУПП. ИССЛЕДОВАНИЕ ПРОВОДИ-
ЛОСЬ С ЦЕЛЬЮ ОБРАТИТЬ ВНИМАНИЕ
ОРГАНИЗАЦИЙ И ОБЫЧНЫХ ГРАЖДАН,
ИНТЕРЕСУЮЩИХСЯ СОВРЕМЕННЫМ
СОСТОЯНИЕМ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ, НА НАИБОЛЕЕ
АКТУАЛЬНЫЕ МЕТОДЫ И МОТИВЫ КИ-
БЕРАТАК, А ТАКЖЕ С ЦЕЛЬЮ ВЫЯВИТЬ
ОСНОВНЫЕ ТЕНДЕНЦИИ В ИЗМЕНЕ-
НИИ ЛАНДШАФТА КИБЕРУГРОЗ.
По итогам I квартала 2020 года
мы отмечаем:
Количество киберинцидентов
стремительно растет: выявлено на
22,5% больше атак, чем в IV вартале
2019 года.
Доля целенаправленных атак
осталась на уровне IV квартала прошлого
года (67%).
В течение квартала высокую активность
проявляли 23 APT-группировки,
атаки которых были направлены
преимущественно на государственные
учреждения, промышленные предприятия,
финансовую отрасль и медицинские
организации.
Около 13% всех фишинговых рассылок
в I квартале были связаны с темой
COVID-19. Около половины из них
(44%) пришлись на частных лиц, а
каждая пятая рассылка была направлена
на государственные организации.
Более трети (34%) всех атак на
юридические лица с использованием
ВПО – это атаки троянов-шифровальщиков.
Наибольшую активность проявляли
Sodinokibi, Maze и DoppelPaymer.
Операторы этих и некоторых других
шифровальщиков создали собственные
сайты, на которых публикуют похищенную
у жертв информацию в случае
отказа платить выкуп.
Доля атак, направленных на частных
лиц, составила 14%. Половина
всех украденных данных – логины и
пароли. Это связано с высокой долей
шпионского ПО (56%) во вредоносных
кампаниях против частных лиц.
По нашим прогнозам, в мире будет
нарастать число атак на удаленные
рабочие места сотрудников. В связи
с массовым переходом на удаленную
работу в ближайшее время компании
могут столкнуться с ростом попыток
взлома корпоративных учетных записей
и с эксплуатацией уязвимостей в
системах удаленного доступа. Угрозы
крайне актуальны для компаний, в которых
нет строгой парольной политики
и регулярного обновления ПО.
Заблокировать возможные атаки
на веб-приложения сетевого периметра,
в том числе на системы удаленного
доступа, например Citrix Gateway,
помогут межсетевые экраны уровня
приложений (WAF). Для предотвращения
заражения компьютеров сотрудников
вредоносным ПО мы рекомендуем
проверять вложения из
электронных писем на предмет вредоносной
активности с помощью решений
класса sandbox (песочниц). Кроме
того, мы советуем придерживаться общих
рекомендаций по обеспечению
личной и корпоративной кибербезопасности.
В I квартале 2020 года мы зафиксировали
на 22,5% больше атак, чем в
последнем квартале 2019 года. Начало
года стало тяжелым периодом для всего
мира. Эпидемия коронавирусной
инфекции COVID-19 внесла коррективы
в мировую экономику и в жизнь
обычных людей. Ситуация отразилась
и на информационной безопасности.
С течением времени актуальность
заражения вредоносным ПО только
растет. Киберпреступники не ограничиваются
одним типом ВПО: используют
многофункциональные трояны
либо загружают на скомпрометированные
устройства целый букет из различных
зловредов. Злоумышленники
постоянно ищут приемы, с помощью
которых можно обойти антивирусы
и встроенные в ОС механизмы защиты.
Например, c начала года мы видим
попытки использовать новую уязвимость
CVE-2020-0601 в Windows
CryptoAPI для подписи вредоносного
ПО (уязвимость позволяет обходить
механизм проверки сертификатов).
Другой пример – ВПО для удаленного
управления SysUpdate. Это уникальная
разработка APTгруппы Bronze Union,
которую злоумышленники используют
для доставки на подконтрольные
им устройства другого ВПО (полезной
нагрузки). Как правило, эта полезная
нагрузка не детектируется антивирусами,
так как файл имеет неопределенный
формат и антивирус не может
его распознать. Еще один пример –
зловред FakeChmMsi со сложной цепочкой
доставки трояна Gh0st, в ходе
которой дважды применяется техника
DLL hijacking, затрудняющая анализ
ВПО средствами антивирусной защиты.
Эффективно противодействовать
современному вредоносному ПО, которое
способно обходить антивирусы,
межсетевые экраны, IPS, почтовые и
веб-шлюзы, помогают песочницы – решения,
позволяющие запускать файл
в изолированной виртуальной среде и
анализировать его поведение на предмет
вредоносной активности.
Наибольшее число атак на корпоративную
инфраструктуру с использованием
ВПО пришлось на долю троянов-шифровальщиков.
Частные лица
больше всего подвергались атакам с
использованием инфостилеров, кейлогеров
и банковских троянов.
ТИПЫ УКРАДЕННЫХ ДАННЫХ
21%
ДРУГАЯ
ИНФОРМАЦИЯ
15%
УЧЕТНЫЕ
ДАННЫЕ
19%
ДАННЫЕ
ПЛАТЕЖНЫХ КАРТ
11%
КОММЕРЧЕСКАЯ
ТАЙНА
34%
ПЕРСОНАЛЬНЫЕ
ДАННЫЕ
КАТЕГОРИИ ЖЕРТВ СРЕДИ
ЮРИДИЧЕСКИХ ЛИЦ
23%
ГОСУЧРЕЖДЕНИЯ
10%
МЕДИЦИНСКИЕ
УЧРЕЖДЕНИЯ
16%
БЕЗ ПРИВЯЗКИ
К ОТРАСЛИ
10%
ПРОМЫШЛЕННОСТЬ
41%
ДРУГИЕ
СПОСОБЫ РАСПРОСТРАНЕНИЯ ВПО
12%
КОМПРО-
МЕНТАЦИЯ
КОМПЬЮТЕРОВ
4%
САЙТЫ
3%
ДРУГИЕ
81%
ЭЛЕКТРОННАЯ
ПОЧТА
МОТИВЫ ЗЛОУМЫШЛЕННИКОВ
ПОЛУЧЕНИЕ ДАННЫХ
ФИНАНСОВАЯ ВЫГОДА
ХАКТИВИЗМ
НЕИЗВЕСТЕН
КИБЕРВОЙНА
63
33
8
4
1
0 20 40 60 80 100
КАТЕГОРИИ ЖЕРТВ
ШИФРОВАЛЬЩИКОВ
21%
ГОСУЧРЕЖДЕНИЯ
16%
НАУКА И
ОБРАЗОВАНИЕ
11%
ПРОМЫШЛЕННОСТЬ
37%
15%
МЕДИЦИНСКИЕ
УЧРЕЖДЕНИЯ
ДРУГИЕ
КАТЕГОРИИ ЖЕРТВ ФИШИНГОВЫХ
РАССЫЛОК НА ТЕМУ COVID-19
11%
ПРОМЫШЛЕННОСТЬ
20%
ГОСУЧРЕЖДЕНИЯ
14%
БЕЗ ПРИВЯЗКИ
К ОТРАСЛИ
12%
ДРУГИЕ
44%
ЧАСТНЫЕ
ЛИЦА