По данным исследования угроз Fortinet разработчики вредоносного ПО начали использовать криптовалюты
Сегодня компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, киберпреступники совершенствуют методы атак в целях повышения вероятности успешного исхода и ускорения заражения сетей. Вредоносное ПО продолжает использоваться для атак на организации, однако некоторые киберпреступники отдают предпочтение перехвату систем с целью дальнейшего майнинга криптовалюты, а не получения выкупа. Для ознакомления с подробными результатами исследования руководителям по информационной безопасности рекомендуется посетить наш блог. Ниже приведены основные выводы, изложенные в отчете.
Киберпреступники работают над скоростью и охватом поражения атак в целях повышения вероятности успешного исхода
По данным исследования, киберпреступники используют более изощренное и эффективное вредоносное ПО, а также задействуют новые уязвимости «нулевого дня» в целях повышения скорости и увеличения охвата атак. В 1-м квартале 2018 г. число эксплойтов, приходящихся на организацию, снизилось на 13 %, однако показатель количества уникальных эксплойтов увеличился более чем на 11 %, а 73 % организаций столкнулись с опасными эксплойтами.
- Распространение криптоджекинга. Вредоносное ПО постоянно развивается: его становится труднее выявлять и устранять. По сравнению с предыдущим кварталом количество вредоносного ПО в сфере майнинга криптовалют возросло вдвое — с 13 до 28 %. Кроме того, на Ближнем Востоке, в Латинской Америке и Африке зафиксировано большое количество случаев криптоджекинга. Отметим, что существует множество вариаций вредоносного ПО в сфере майнинга криптовалют. Для сравнительно новой угрозы это достаточно необычно. Киберпреступники разрабатывают более скрытные версии вредоносного ПО, не требующие применения файлов. Вместо этого в браузеры внедряется вредоносный код, который труднее поддается обнаружению. Программы для майнинга поражают самые разные операционные системы и криптовалюты, в том числе Bitcoin и Monero. Также в целях повышения количества успешных атак злоумышленники принимают на вооружение и дорабатывают показавшие свою эффективность технологии доставки и распространения других угроз.
- Целенаправленные атаки максимального поражающего действия. Вредоносное ПО, предназначенное для уничтожения систем, продолжает широко использоваться киберпреступниками. Особенно разрушительны такие угрозы в сочетании со специально разработанными атаками. Перед запуском таких целенаправленных атак злоумышленники тщательно исследуют корпоративную сеть, что повышает вероятность успеха. Внедрив угрозу в сеть, злоумышленники перемещаются внутри нее, а затем переходят к реализации основного этапа спланированной атаки. В качестве примера сочетания специально разработанных атак и разрушительных кодов можно назвать вредоносное ПО Olympic Destroyer и недавно появившуюся программу-вымогатель SamSam.
- Злоумышленники продолжают использовать программы-вымогатели. Задача противодействия программам-вымогателям остается актуальной для организаций, так как количество и степень сложности угроз продолжают расти. Киберпреступники совершенствуют программы-вымогатели, задействуют новые каналы доставки (например, социальная инженерия) и новые техники, такие как многоступенчатые атаки. Все эти меры направлены на обход систем безопасности и поражение сетей. Программа-вымогатель GandCrab появилась в январе. Это первая программа, которая требует уплаты выкупа в криптовалюте Dash. Также в первом квартале 2018 г. появились такие опасные вариации программ-вымогателей, как BlackRuby и SamSam.
- Множество направлений атак. В прошедшем квартале широкое освещение в прессе получили атаки по сторонним каналам, известные как Meltdown и Spectre, однако данные свидетельствуют о значительном преобладании атак, ориентированных на поражение мобильных устройств и известных уязвимостей маршрутизаторов, веб-технологий и Интернета. 21 % организаций сообщили о выявлении мобильного вредоносного ПО. Этот показатель вырос на 7 %, что свидетельствует об уязвимости IoT-устройств. Кроме того, киберпреступники продолжают использовать как известные уязвимости, для которых пока отсутствуют исправления, так и недавно выявленные уязвимости «нулевого дня», что повышает вероятность успешного внедрения угрозы. Технологии Microsoft остаются первоочередной целью эксплойтов, второе место по количеству атак заняли маршрутизаторы. Также нередко подвергаются атакам системы управления содержимым (CMS) и веб-ориентированные технологии.
- Эффективная защита не сводится к устранению уязвимостей. После проникновения в систему ботнеты могут в течение многих дней подавать сигналы, оставаясь незамеченными, о чем свидетельствуют измерения длительности их существования. Таким образом, простого устранения уязвимостей недостаточно для обеспечения эффективной защиты, требуется еще и очистка системы. В 58,5 % случаев внедрившиеся ботнеты обнаруживаются и устраняются в тот же день. 17,6 % ботнетов находятся в сети в течение двух дней, а 7,3 % — трех дней. Около 5 % ботнетов могут оставаться в сети более недели. К примеру, ботнет Andromeda был обезврежен в 4-м квартале 2017 г., однако в 1-м квартале текущего года было зафиксировано значительное количество поражений.
- Атаки, направленные на поражение эксплуатационных технологий (OT). Несмотря на то, что процент атак на OT составляет сравнительно малую долю от общего количества атак, в этой сфере также наблюдаются настораживающие тенденции. Растет число инфраструктур на базе эксплуатационных технологий, подключенных к сети Интернет, что чревато негативными последствиями для безопасности. В настоящее время подавляющее большинство эксплойтов ориентированы на поражение двух самых распространенных протоколов промышленной связи. Эти протоколы широко применяются, а значит, наиболее уязвимы. По данным исследований, эксплойты, целями которых являются системы управления производственными процессами (ICS), несколько чаще встречаются в Азии, чем в других регионах.
Противодействие современным кибератакам при помощи интегрированной системы безопасности
Результаты проведенного в этом квартале исследования подтверждают многие из обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым наиболее эффективной технологией противодействия автономным интеллектуальным угрозам является интегрированная, автоматизированная адаптивная система сетевой безопасности широкого охвата. Защиту от автоматизированных атак следующего поколения, разработанных с применением технологий искусственного интеллекта, может обеспечить только система безопасности, оснащенная функциями непрерывного отслеживания состояния всех компонентов сети и упреждающего реагирования.
Методология исследования
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков Fortinet в 1-м квартале 2018 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня». Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований FortiGuard Labs.
Автор:
Игорь Плотников.
Тематики:
Безопасность
Ключевые слова:
информационная безопасность, Fortinet, криптовалюты