Компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, киберпреступники совершенствуют методы атак в целях повышения вероятности успешного исхода и ускорения заражения сетей. Вредоносное ПО продолжает использоваться для атак на организации, однако некоторые киберпреступники отдают предпочтение перехвату систем с целью дальнейшего майнинга криптовалюты, а не получения выкупа.
По данным исследования, киберпреступники используют более изощренное и эффективное вредоносное ПО, а также задействуют новые уязвимости «нулевого дня» в целях повышения скорости и увеличения охвата атак. В
Вредоносное ПО постоянно развивается: его становится труднее выявлять и устранять. По сравнению с предыдущим кварталом количество вредоносного ПО в сфере майнинга криптовалют возросло вдвое — с 13 до 28 %. Кроме того, на Ближнем Востоке, в Латинской Америке и Африке зафиксировано большое количество случаев криптоджекинга. Отметим, что существует множество вариаций вредоносного ПО в сфере майнинга криптовалют. Для сравнительно новой угрозы это достаточно необычно. Киберпреступники разрабатывают более скрытные версии вредоносного ПО, не требующие применения файлов. Вместо этого в браузеры внедряется вредоносный код, который труднее поддается обнаружению. Программы для майнинга поражают самые разные операционные системы и криптовалюты, в том числе Bitcoin и Monero. Также в целях повышения количества успешных атак злоумышленники принимают на вооружение и дорабатывают показавшие свою эффективность технологии доставки и распространения других угроз.
Вредоносное ПО, предназначенное для уничтожения систем, продолжает широко использоваться киберпреступниками. Особенно разрушительны такие угрозы в сочетании со специально разработанными атаками. Перед запуском таких целенаправленных атак злоумышленники тщательно исследуют корпоративную сеть, что повышает вероятность успеха. Внедрив угрозу в сеть, злоумышленники перемещаются внутри нее, а затем переходят к реализации основного этапа спланированной атаки. В качестве примера сочетания специально разработанных атак и разрушительных кодов можно назвать вредоносное ПО Olympic Destroyer и недавно появившуюся программу-вымогатель SamSam.
Задача противодействия программам-вымогателям остается актуальной для организаций, так как количество и степень сложности угроз продолжают расти. Киберпреступники совершенствуют программы-вымогатели, задействуют новые каналы доставки (например, социальная инженерия) и новые техники, такие как многоступенчатые атаки. Все эти меры направлены на обход систем безопасности и поражение сетей. Программа-вымогатель GandCrab появилась в январе. Это первая программа, которая требует уплаты выкупа в криптовалюте Dash. Также в первом квартале 2018 г. появились такие опасные вариации программ-вымогателей, как BlackRuby и SamSam.
В прошедшем квартале широкое освещение в прессе получили атаки по сторонним каналам, известные как Meltdown и Spectre, однако данные свидетельствуют о значительном преобладании атак, ориентированных на поражение мобильных устройств и известных уязвимостей маршрутизаторов, веб-технологий и Интернета. 21 % организаций сообщили о выявлении мобильного вредоносного ПО. Этот показатель вырос на 7 %, что свидетельствует об уязвимости IoT-устройств. Кроме того, киберпреступники продолжают использовать как известные уязвимости, для которых пока отсутствуют исправления, так и недавно выявленные уязвимости «нулевого дня», что повышает вероятность успешного внедрения угрозы. Технологии Microsoft остаются первоочередной целью эксплойтов, второе место по количеству атак заняли маршрутизаторы. Также нередко подвергаются атакам системы управления содержимым (CMS) и веб-ориентированные технологии.
После проникновения в систему ботнеты могут в течение многих дней подавать сигналы, оставаясь незамеченными, о чем свидетельствуют измерения длительности их существования. Таким образом, простого устранения уязвимостей недостаточно для обеспечения эффективной защиты, требуется еще и очистка системы. В 58,5 % случаев внедрившиеся ботнеты обнаруживаются и устраняются в тот же день. 17,6 % ботнетов находятся в сети в течение двух дней, а 7,3 % — трех дней. Около 5 % ботнетов могут оставаться в сети более недели. К примеру, ботнет Andromeda был обезврежен в
Несмотря на то, что процент атак на OT составляет сравнительно малую долю от общего количества атак, в этой сфере также наблюдаются настораживающие тенденции. Растет число инфраструктур на базе эксплуатационных технологий, подключенных к сети Интернет, что чревато негативными последствиями для безопасности. В настоящее время подавляющее большинство эксплойтов ориентированы на поражение двух самых распространенных протоколов промышленной связи. Эти протоколы широко применяются, а значит, наиболее уязвимы. По данным исследований, эксплойты, целями которых являются системы управления производственными процессами (ICS), несколько чаще встречаются в Азии, чем в других регионах.
Результаты проведенного в этом квартале исследования подтверждают многие из обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым наиболее эффективной технологией противодействия автономным интеллектуальным угрозам является интегрированная, автоматизированная адаптивная система сетевой безопасности широкого охвата. Защиту от автоматизированных атак следующего поколения, разработанных с применением технологий искусственного интеллекта, может обеспечить только система безопасности, оснащенная функциями непрерывного отслеживания состояния всех компонентов сети и упреждающего реагирования.