Fortinet представила результаты своего очередного ежеквартального исследования глобальных угроз Global Threat Landscape Report. Как показали результаты исследования, киберпреступники продолжают поиск новых способов для проведения атак по всем направлениям. Они смещают главный вектор атаки на общедоступные пользовательские службы, реагируя тем самым на предпринимаемые в организациях усилия, направленные на обучение и тренинг в борьбе против популярных форм атаки, таких как фишинг.
В течение последнего квартала не наблюдалось значительных изменений в рейтинге угроз Threat Landscape Index. Происходили небольшие колебания без значительных отклонений. В то же время поводов для успокоения нет. Рейтинг наглядно указывает на сохранение устойчивой активности со стороны киберпреступников.
Подробный анализ рейтинга угроз Threat Landscape Index и дополнительные признаки для эксплойтов, вредоносного ПО и мошеннических ботнетов, а также важные рекомендации можно найти в блоге.
Дерек Мэнки, руководитель отдела расследований по безопасности и глобальных угроз Fortinet, отметил: «Киберпреступники продолжают искать пути, чтобы опережать профессионалов в области кибербезопасности. Они не только разрабатывают новые вредоносные программы и проводят атаки нулевого дня, но также постоянно меняют тактику атак, чтобы повысить свои шансы на успех, используя все возможные направления. Чтобы иметь адекватную оценку уровня угроз и своевременно реагировать на них в реальном времени, компаниям не следует ограничиваться только принятыми методами защиты, таких как установка патчей, сегментирование доступа и обучение персонала. Необходимо дополнить их средствами автоматизации и ИИ. Организованная защита будет успешной только при комплексном подходе, когда все доступные для компании ресурсы объединены в единую инфраструктуру безопасности security fabric, способную распознавать угрозы повсюду и перенастраивать защиту в условиях быстро роста сетевой конфигурации».
Поскольку основная доля вредоносных заражений приходится на электронную почту, во многих организациях сейчас ведется активная борьба с фишинг-атаками: проводятся тренинги, применяются усовершенствованные средства защиты электронной почты. В этих условиях киберпреступники развивчают способы доставки вредоносного кода. Они стали атаковать общедоступные интерфейсные пользовательские сервисы, такие как инфраструктура веб-приложений, сетевые коммуникационные протоколы. Также, применяются новые приемы атаки в обход средств блокировки рекламы, где не нужны традиционные уловки фишинга. Например, в прошедшем квартале специалисты FortiGuard Labs выявили атаки, направленные на использование уязвимостей для запуска удаленного исполнения кода на концевых сервисах. Атаки этого типа происходили наиболее часто во всех регионах. И хотя применяемая тактика не нова, она может оказаться успешной в условиях, когда у атакуемой компании нет возможности внимательно следить за установленными средствами защиты и можно застать ее оборону врасплох, увеличивая шансы на успех атаки. Этот способ может представлять наиболее серьезную угрозу в преддверии высокого сезона онлайн-распродаж, когда сервисы испытывают повышенную активность.
История трояна-вымогателя GandCrab, который принес существенную прибыль своим разработчикам благодаря распространению через даркнет в виде услуги Ransomware-as-a-Service (RaaS), послужила примером для других киберпреступников. Они стали создавать собственные решения, наращивая свои возможности для заработка. Создав партнерскую сеть из аффилированных компаний, киберпреступники получают возможность для широкого распространения своих программ-вымогателей. Это ведет к значительному росту их доходов. Эксперты FortiGuard Labs выявили, как минимум, два внушительных семейства развернутых RaaS-решений — Sodinokibi и Nemty. Потенциально это только начало, и в будущем можно ожидать нарастающего потока появления аналогичных сервисов.
Помимо этого, киберпреступники продолжают заниматься совершенствованием вредоносного ПО, стараясь снизить вероятность их обнаружение и проводить более сложные и опасные атаки, Например, дальнейшее развитие получил троян Emotet. Это тревожный знак для организаций, потому что киберпреступники все чаще стали использовать существующие вредоносные программы для распространения угроз других типов, повышая свои шансы на извлечение финансовой выгоды. Недавно злоумышленники применили механизм Emotet для доставки кода программы-вымогателя, кражи данных и распространения банковских троянов, включая TrickBot, IcedID и Zeus Panda. Кроме этого, взламывая каналы доставки электронной почты в доверенных местах и добавляя в электронную корреспонденцию вредоносный код, злоумышленники значительно повышают шансы, что эти вложения будут прочитаны.
Проведение атак против раннее установленных систем, где сохранились прежние уязвимости и отсутствуют должные средства защиты, остается эффективным способом для осуществления кибернападения. Эксперты FortiGuard Labs выявили, что при атаке новых объектов киберпреступники значительно чаще выбирают уязвимости
Аналогичный тренд на наращивание эффекта атаки проявляется и в отношении ботнетов. Это проявление более значительно, чем для любых других типов угроз, и наиболее значимые ботнеты от квартала к кварталу мигрируют из одного региона мира в другой с небольшими изменениями. Это указывает на то, что их управляющая инфраструктура менее склона к изменениям, чем используемые инструменты или функции, а киберпреступники не только следуют в своей практике новым вызовам, но также активно нацелены на атаку типовых предприятий, предпочитают выбирать, когда это возможно, существующую инфраструктуру для повышения эффективности атаки и сокращения издержек.
Расширение направлений для проведения атак и коррекция тактики повдеения киберпреступников ведет к тому, что компании больше не могут ограничиваться для своей защиты выбором только инструментов, направленных против узкого набора угроз. Сегодня важно применять целостный подход к защите сложных сетевых конфигураций для распределенных систем. Необходимо развертывать единую систему Fortinet Security Fabric на базе широкоохватных, интегрированных и автоматизированных решений. Это поможет сократить разрастающийся список направлений для проведения атак, сохранить его управляемость благодаря широкому контролю всего парка интегрированных устройств, предотвратить появление более сложных угроз, использующих методы взлома на базе ИИ, а также снизить сложность организуемой защиты за счет широкого применения средств автоматизации и оркестровки. Кроме того, у компании будет формироваться понимание всей совокупности существующих угроз. Эта информация создается динамически, проактивно и доступна в реальном времени. Она играет важную роль в выявлении новых трендов, эволюционирует вместе с методами регистрируемых атак и задает основные приоритеты в профилактике киберзащиты.