Корпорация Microsoft опубликовала отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании. Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.
Отчет посвящен трем темам: ботнетам, популярным методам хакерских атак и вирусам-вымогателям. Целью публикации отчета является повышение осведомленности корпоративных и частных пользователей о существующих угрозах и методах противодействия им.
Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло
Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.
В ноябре 2017 года совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО — ботнета Gamarue, также известного как Andromeda; это хакерский инструмент, распространявшийся как платный сервис для киберпреступников. Отдел по расследованию цифровых преступлений Microsoft (Digital Crimes Unit, DCU) проанализировал более 44 000 образцов вредоносного кода и выяснил, что в арсенале Gamarue было более 80 различных типов вредоносного ПО. Тремя основными классами вредоносного ПО, распространявшимися через бот-сеть Gamarue, были программы-вымогатели (в частности, Petya), трояны и бэкдоры. С помощью вирусов Gamarue злоумышленники могли красть данные учетных записей, запускать в зараженных системах другие вредоносные программы, отслеживать происходящее на мониторе (движение мышки или набираемые символы на клавиатуре жертвы) и многое другое.
Из-за нарушения работы этой инфраструктуры уже в следующие три месяца количество инфицированных устройств снизилось на 30% (с 17 до 12 миллионов). Количество IP-адресов, имеющих отношение к сети Gamarue и перенаправленных на созданный совместно с органами правопорядка сервер sinkhole, в России составило 22,5 тыс. Всего в мире количество таких IP-адресов составило 29,48 млн.
Тем не менее, ботнеты продолжают оставаться серьезной угрозой для пользователей по всему миру. Microsoft активно содействует в помощи пользователям зараженных устройств в рамках деятельности ассоциации Virus Information Alliance, а также постоянно совершенствует защитные механизмы своих продуктов, используя машинное обучение для проактивной блокировки новых видов атак.
В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%),
Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).
Еще одна тенденция второй половины 2017 года — киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.
Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остается привлекательной стратегией для злоумышленников. В 2017 году три вспышки вирусов-вымогателей — WannaCrypt, Petya/NotPetya и BadRabbit — стали причиной заражения множества корпоративных сетей, в том числе в больницах, транспортных системах и системах управления дорожным движением. Атаки программ-вымогателей, которые мы наблюдали в прошлом году, были крайне разрушительными и развивались стремительно, оставляя большую часть жертв без доступа к своим файлам на длительное время.
В России в среднем 0,13% устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14%. Чаще всего с таким видом угроз сталкивались пользователи в Азии. Самая высокая частота обнаружения вирусов-вымогателей — в Мьянме (0,48%), Бангладеше (0,36%) и Венесуэле (0,33%). Ниже всего этот показатель оказался в Японии, Финляндии и США (0,03%).