О последних тенденциях в области масштабных кибератак

В соответствие с исследованиями Fortinet, сегодня можно вести речь о трех основных взаимодополняющих угрозах: это эксплойты-приложения, вредоносное ПО и ботнеты.

Итак, какие же основные тенденции?

Возникновение неотложных проблем в связи с серьезностью атак. В 3-м квартале 2017 г. 79% организаций столкнулись с серьезными атаками. По данным исследований, проводившихся на протяжении квартала, было зафиксировано 5973 уникальных эксплойта, 14 904 уникальные вариации вредоносных программ, принадлежащих к 2646 семействам вредоносного ПО, и 245 уникальных ботнетов. Помимо этого, за текущий год компания Fortinet выявила 185 уязвимостей «нулевого дня».

Повторное появление ботнетов. Многие организации неоднократно подвергались атакам, при которых использовались одни и те же ботнеты. Это настораживающая статистика, из которой можно сделать два вывода. Во-первых, масштабы атаки могли уйти от внимания организаций, вследствие чего ботнеты перешли в состояние покоя и вновь активизировались после возобновления коммерческой деятельности на прежнем уровне. Во-вторых, первоисточник угрозы мог остаться неизвестным, и организации повторно подверглись поражению при помощи того же вредоносного ПО.

Поражение уязвимостей при помощи технологии «роя». Эксплойт-приложение, с помощью которого злоумышленники проникли в сеть компании Equifax, оказался наиболее распространенным в прошлом квартале: более 6000 уникальных экземпляров. В текущем квартале этот эксплойт сохранил за собой лидирующее положение по распространенности. Известно, что в число 10 наиболее распространенных угроз вошли три эксплойта, применявшиеся для атаки на инфраструктуру Apache Struts. Это пример того, как злоумышленники создают «рои» эксплойтов для атак на широко представленные уязвимые цели.

Мобильные угрозы. Каждая четвертая организация сталкивалась с мобильным вредоносным ПО. Впервые удалось выявить четыре наиболее распространенных семейства мобильного вредоносного ПО. Это свидетельствует о том, что мобильные устройства будут все чаще становиться целью злоумышленников, применяющих автоматизированное полиморфное ПО. Это чрезвычайно настораживающая тенденция, так как в разгаре сезона праздничных покупок многие люди прибегают к мобильному шопингу и приобретают устройства IoT в качестве подарков.

Широко распространенное и скрытое вредоносное ПО. Вредоносные программы, принадлежащие к основным семействам, оснащены одинаковыми функциями: загрузка, отправка и внедрение вредоносного ПО в системы. При помощи такой процедуры вредоносный код в составе динамически изменяющегося пакета успешно обходит устаревшие средства защиты. Кроме того, широко применяются разновидности вредоносного ПО, которые получают удаленный доступ к системе, захватывают вводимые пользователями данные и собирают сведения о системе. В последнее время эти продвинутые угрозы получают все более широкое распространение. По результатам наблюдений выявлены тенденции к повышению степени интеллектуальности и автоматизации вредоносного ПО.

Существование программ-вымогателей. В первой половине года активность на этом направлении атак была низкой, однако затем появилась новая серьезная угроза — программа-вымогатель Locky, которая применялась в трех кампаниях. Об атаках с использованием этой программы сообщили около 10% организаций. Кроме того, на протяжении квартала по меньшей мере 22% организаций столкнулись с другими типами программ-вымогателей.

Атаки киберпреступников на организации любого размера. Предприятия среднего бизнеса все чаще подвергаются атакам при помощи ботнетов, что вынуждает их решать проблемы безопасности на уровне, который превышает их возможности. Организации среднего бизнеса представляют собой привлекательную цель для злоумышленников, так как они не всегда обладают столь же обширными ресурсами безопасности и эффективными технологиями, что и более крупные организации, но при этом могут располагать ценными данными. Кроме того, атаки на предприятия среднего бизнеса становятся все более частыми вследствие распространения облачных технологий в средах этих предприятий.

Важность безопасности систем SCADA. Помимо широкомасштабных атак, например атаки на инфраструктуру Apache Struts, некоторые угрозы действуют скрытно или вызывают серьезные негативные последствия, которые затрагивают не только организацию, ставшую первоначальной целью. Из числа зафиксированных эксплойтов, направленных на поражение разных типов систем диспетчерского управления и сбора данных (SCADA), лишь один эксплойт преодолел значение порога распространенности 1/1000. Каждый зафиксированный эксплойт поразил менее 1% организаций. Проникновения в корпоративные сети и сбои — это серьезные проблемы, однако нарушения безопасности сред SCADA, к сожалению, еще более опасны, так как они ставят под удар физические инфраструктуры, от бесперебойной работы которых зависят человеческие жизни. Таким образом, приведенная статистика заслуживает внимания.

Резюмируя можно привести слова Фила Квада (Phil Quade), руководителя по информационной безопасности компании Fortinet. Он отметил, что вне зависимости от того, идет ли речь об атаке при помощи WannaCry в мае или поражении Apache Struts в сентябре, можно заметить, что входной точкой для злоумышленников снова и снова становятся давно известные, но остающиеся неисправленными уязвимости. Очевидно, что бдительное отслеживание новых угроз и уязвимостей должно быть одной из приоритетных задач организаций, однако важно также контролировать и события внутри корпоративной среды. Как никогда актуальными стали задачи обеспечения высокого уровня защиты и внедрения подходов, основанных на применении систем безопасности и поддерживающих автоматизацию, интеграцию и стратегическую сегментацию.