Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщила о том, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов. Об этом сообщил Центр реагирования на инциденты кибербезопасности CERT-GIB. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

Интересно, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом.

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 44% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Однако, только 10% из этого количества пришлось на домены в российской зоне — 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года — 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 году. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.

По данным CERT-GIB, одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре — домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса — те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле — нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь «переехать» на другой.

Как и в 2017, в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно — на 10%.

Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

Вызывает удивление, что в 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.

В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых — заставить жертву открыть архив с вредоносным ПО.

Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже «разрешил» доставку письма.

«Все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами, — прокомментировал Ярослав Каргалев, заместитель руководителя CERT-GIB. — Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение, ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус».

По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».

«Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности, — отметил Ярослав Каргалев. — Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно».

Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Intelligence и других.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах .RU, .РФ и ещё более чем в 2500 доменных зонах.

Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.