Хорошая стратегия кибербезопасности в чём-то противоположна фокусам: она должна делать кибер-угрозы видимыми и не допускать исчезновения критических сетевых ресурсов.

Знание новейших угроз дает возможность победить их. Вот некоторые из основных выводов отчёта Threat Landscape Report за первый квартал 2018 года, подготовленного Fortinet.

Криптовзлом (криптомайнинг)

При этом типе атаки вредоносное ПО взламывает компьютер жертвы для майнинга криптовалюты. В последнем отчёте Fortinet рассмотрен взрыв таких атак в ландшафте угроз. С тех пор ситуация только ухудшилась. Распространение ПО для неавторизованного криптомайнинга от квартала к кварталу выросло более чем вдвое, с 13 до 28%. Кроме того, это ПО продолжает развиваться, что затрудняет его обнаружение и обезвреживание. 

Особое распространение криптовзлом в прошлом квартале получил на Ближнем Востоке, в Латинской Америке и в Африке. Для такой относительно новой угрозы криптомайнинговые программы демонстрируют невероятное разнообразие. Киберпреступники создают невидимое бесфайловое JavaScript-ПО для инъекции зараженного кода в браузеры с меньшей вероятностью обнаружения. Майнеры также нацеливаются на множество операционных систем и различные криптовалюты, включая Bitcoin и Monero. Чтобы улучшить показатели эффективности, они также заимствуют и оптимизируют методы доставки и распространения, оказавшиеся успешными для других угроз.

Если вкратце, то преступники гонятся за деньгами и быстро задействуют новые возможности для достижения этой цели. Они поняли, что взлом систем для майнинга криптовалют является прибыльным делом, поэтому мы можем ожидать дальнейших инвестиций и инноваций в этой бизнес-модели.

Ботнеты

Если эксплойты и вредоносное ПО, как правило, выявляются в начале атаки, ботнеты демонстрируют себя пост-фактум. Инфицированные системы часто общаются с удалёнными вредоносными хостами, и обнаружение такого трафика в корпоративной среде указывает на то, что что-то не в порядке. Это делает такие наборы данных ценными для «обучения на наших ошибках».

Fortinet обнаружила, что хотя 58% инфекций ботнетов «живут» всего один день, примерно 5% из них удаётся подержаться больше недели. Измерение длительности жизни инфекций ботнетов, базирующееся на количестве последовательных дней, в которые обнаружены коммуникации, показывает, что кибер-гигиена не должна ограничиваться установкой патчей. Она также предполагает регулярную чистку. Сорок два процента организаций не озадачивались уборкой инфекции в течение одного-девяти или более дней, а у 6% это занимало больше недели.

Мы все уже знаем, что заражения не избежать, рано или поздно это произойдёт даже в самых защищённых сетях. Признаком успешных программ кибербезопасности является быстрое обнаружение и устранение этих инфекций для ликвидации угроз со стороны окружающей среды и для предотвращения повторного заражения.

Ушедший, но не забытый

Andromeda, также известный как Win32/Gamarue, это модульный HTTP-ботнет, заражающий компьютеры с 2011 года. Несмотря на крупную операцию правоохранительных органов по устранению этого ботнета, предпринятую в четвёртом квартале прошлого года, Andromeda продолжает демонстрировать свое присутствие на наших радарах. Он остаётся в первой тройке ботнетов первого квартала 2018 г. как по объёму так и по масштабу распространения. На первый взгляд кажется, что операция по искоренению Andromeda, оказалась не слишком успешной. Однако дальнейший анализ показывает, что всё дело тут в слабой гигиене безопасности.

Как оказалось, организации, все еще заражённые ботнетом Andromeda (который больше не циркулирует в Сети), имели в своей среде втрое больше других активных ботнетов. Таким образом, вероятно, зараженность Andromeda может служит индикатором плохой кибер-гигиены и/или медленного реагирования на происшествия.

Разрушительные и дизайнерские атаки

Воздействие деструктивных вредоносных программ остается высоким, особенно когда преступники объединяют их с ориентированными на конкретную цель «дизайнерскими» атаками. В этих случаях атаке предшествует значительная разведка в организации, что помогает повысить вероятность успеха. Проникнув в сеть, злоумышленники продвигаются в ней в поперечном направлении, прежде чем приступить к самой разрушительной части запланированной атаки. Olympic Destroyer и более свежее ПО-ransomware SamSam являются примерами того, как киберпреступники, сочетают дизайнерскую атаку с разрушительной нагрузкой для получения максимального эффекта.

Такая комбинация дизайнерских спецификаций и деструктивных тенденций, иллюстрируемая инцидентами с вредоносным ПО, не может не вызывать обеспокоенности. Как ни странно, невидимость скрытых в удалённых центрах управления задач вредоносных программ заставила многие фирмы за последнее десятилетие ослабить свою защиту, сведя её к обнаружению и ответу. С червями и разрушительными вредоносными программами, снова вышедшими на передний план, пришло время восстановить полноценную защиту.

Держать глаза открытыми

От криптовзлома до бот-сетей и вредоносного ПО – киберпреступники продолжают совершенствовать методы атаки, чтобы повысить их эффективность. Но предупрежденный вооружен. Фокусники учат нас не верить всему, что мы видим, но данные из этого отчета свидетельствуют, что чем больше мы видим, тем легче сможем победить. Они напоминают нам, что мы не должны успокаивать себя тем, что было раньше, или забывать об основах, таких как хорошая кибер-гигиена. В этой динамично меняющейся обстановке команды ИТ-безопасности имеют гораздо больше шансов победить новейшие схемы киберпреступников, когда они знают, что искать.

Сегодня наблюдается настораживающая тенденция к унификации методов, которыми пользуются киберпреступники. Злоумышленники используют эффективные и гибкие угрозы, ориентированные на поражение новых цифровых направлений атак.

Также применяются современные угрозы «нулевого дня», и как никогда высокой стала доступность вредоносного ПО для преступников. Кроме того, команды ИТ- и ОТ-специалистов не всегда располагают достаточными ресурсами для обеспечения надлежащей защиты систем.

На днях компания Fortinet представила результаты глобального исследования угроз.
Вредоносное ПО продолжает использоваться для атак на организации, однако некоторые киберпреступники отдают предпочтение перехвату систем с целью дальнейшего майнинга криптовалюты, а не получения выкупа.

Как отмечается в исследовании, в 1-м квартале 2018 г. число эксплойтов, приходящихся на организацию, снизилось на 13 %, однако показатель количества уникальных эксплойтов увеличился более чем на 11 %, а 73 % организаций столкнулись с опасными эксплойтами.

Вредоносное ПО постоянно развивается: его становится труднее выявлять и устранять. По сравнению с предыдущим кварталом количество вредоносного ПО в сфере майнинга криптовалют возросло вдвое — с 13 до 28 %. Кроме того, на Ближнем Востоке, в Латинской Америке и Африке зафиксировано большое количество случаев криптоджекинга.

Существует множество вариаций вредоносного ПО в сфере майнинга криптовалют и для сравнительно новой угрозы это достаточно необычно. Киберпреступники разрабатывают более скрытные версии вредоносного ПО, не требующие применения файлов. Вместо этого в браузеры внедряется вредоносный код, который труднее поддается обнаружению. Программы для майнинга поражают самые разные операционные системы и криптовалюты, в том числе Bitcoin и Monero. Также в целях повышения количества успешных атак злоумышленники принимают на вооружение и дорабатывают показавшие свою эффективность технологии доставки и распространения других угроз.

Вредоносы, предназначенные для уничтожения систем, продолжает широко использоваться киберпреступниками. Особенно разрушительны такие угрозы в сочетании со специально разработанными атаками, которые предваряются тщательным исследованием корпоративной сети, что повышает вероятность успеха. Внедрив угрозу в сеть, злоумышленники перемещаются по ней, а затем переходят к реализации основного этапа спланированной атаки. В качестве примера сочетания специально разработанных атак и разрушительных кодов можно назвать Olympic Destroyer и недавно появившуюся  программу-вымогатель SamSam.

Злоумышленники продолжают использовать программы-вымогатели. Киберпреступники совершенствуют этот метод, задействуют новые каналы доставки (например, социальная инженерия) и новые техники, такие как многоступенчатые атаки. Все эти меры направлены на обход систем безопасности и поражение сетей. Программа-вымогатель GandCrab, появившаяся в январе, первая, которая требует уплаты выкупа в криптовалюте Dash. Также в первом квартале появились такие опасные вариации программ-вымогателей, как BlackRuby и SamSam.

В прошедшем квартале широкое освещение в прессе получили атаки по сторонним каналам, известные как Meltdown и Spectre, однако данные свидетельствуют о значительном преобладании атак, ориентированных на поражение мобильных устройств и известных уязвимостей маршрутизаторов, веб-технологий и Интернета. 21 % организаций сообщили о выявлении мобильного вредоносного ПО. Этот показатель вырос на 7 %, что свидетельствует об уязвимости IoT-устройств. Кроме того, киберпреступники продолжают использовать как известные уязвимости, для которых пока отсутствуют исправления, так и недавно выявленные уязвимости «нулевого дня», что повышает вероятность успешного внедрения угрозы. Технологии Microsoft остаются первоочередной целью эксплойтов, второе место по количеству атак заняли маршрутизаторы. Также нередко подвергаются атакам системы управления контентом и веб-ориентированные технологии.

После проникновения в систему ботнеты могут в течение многих дней подавать сигналы, оставаясь незамеченными, о чем свидетельствуют измерения длительности их существования. Таким образом, простого устранения уязвимостей недостаточно для обеспечения эффективной защиты, требуется еще и очистка системы. В 58,5 % случаев внедрившиеся ботнеты обнаруживаются и устраняются в тот же день. 17,6 % ботнетов находятся в сети в течение двух дней, а 7,3 % — трех дней. Около 5 % ботнетов могут оставаться в сети более недели. К примеру, ботнет Andromeda был обезврежен в 4-м квартале 2017 г., однако в 1-м квартале текущего года было зафиксировано значительное количество поражений.

Хотя атаки, направленные на поражение эксплуатационных технологий, составляет сравнительно малую долю от общего количества, в этой сфере также наблюдаются настораживающие тенденции. Растет число инфраструктур на базе эксплуатационных технологий, подключенных к сети Интернет, что чревато негативными последствиями для безопасности. В настоящее время подавляющее большинство эксплойтов ориентированы на поражение двух самых распространенных протоколов промышленной связи. Эти протоколы широко применяются, а значит, наиболее уязвимы.

Многие ИТ-команды рассматривают конечные устройства отдельно от остальной сети. Защиту конечных точек часто реализуют как изолированное решение, обычно в виде антивируса или пакета безопасности конечных устройств. Собственно сетевая безопасность обычно начинается в месте соприкосновения конечного устройства с сетью.

Но с сетями, охватывающими многочисленные экосистемы, включая многооблачные инфраструктуры, растущее количество служб, базирующихся в облаке, и даже «теневые» ИТ (Shadow IT), такой демаркационный пункт становится всё труднее определить и обосновать. Предприятия больше не могут держать конечные устройства в безопасном «огороженном саду», который отделён от остальной сети.

Эти устройства также в растущей степени совмещают персональные и профессиональные профили. То есть, приватная деятельность может влиять на деловые организации. В частности, когда они запускают приложение или подключаются к сети, она оказывается открыта для всех вирусов и вредоносного ПО, попавших в данное устройство во внерабочее время. Согласно исследованиям, 63% организаций неспособны осуществлять мониторинг устройств, когда те покидают корпоративную сеть, и 53% сообщают, что число конечных устройств, инфицированных победоносными программами, возросло за последние 12 месяцев. К тому же, 56% этих опрошенных ИТ-профессионалов также отметили, что не могут определить для конечных устройств соответствие (нормам и политикам, прим. перев.), а 70% рапортуют о ниже, чем средних возможностях минимизации потерь от отказа конечного устройства.

Gartner прогнозирует, что 99% уязвимостей, используемых к концу 2020 г., по-прежнему будут теми, что были известны профессионалам ИТ и безопасности на время происшествия.

Конечные устройства представляют главный источник таких эксплойтов. Проблема заключается в том, что сетевая безопасность не может защитить конечные устройства или даже адекватно защититься от опасных конечных устройств, когда эти устройства и их уязвимости находятся за пределами корпоративного периметра.

Чтобы решить эту растущую проблему, организациям нужна эффективная стратегия безопасности конечных точек, которая связывает устройства на границе сети, включая конечных пользователей, хосты и IoT-устройства, в более крупный фреймворк сетевой безопасности. Сегодня:

Реальная безопасность конечных точек выходит далеко за рамки обычного антивирусного сервиса.  Она должна использовать современные технологии обнаружения, чтобы справляться с более сложными угрозами.
Также от неё требуется обеспечить полные, 24x7 видимость, соответствие и контроль, чтобы гарантировать, что эти и другие технологии внедрены надлежащим образом, как в, так и вне корпоративной сети, в идеале, не прибегая к сессиям VPN.
Самое важное, она должна быть способна интегрироваться в более широкий фреймворк безопасности с тем, чтобы иметь возможность обмениваться сведениями о продвинутых угрозах, а также, чтобы участвовать в качестве одного из элементов более масштабного, автоматизированного ответа на угрозу.

Труднее всего при выборе решения для безопасности конечных точек будет найти такое, которое действительно может быть интегрировано с остальной частью вашей инфраструктуры безопасности. Инструмент безопасности конечных точек, который взаимодействует с вашим пограничным брандмауэром, хорош, но поскольку доступ к сети во многих организациях стал повсеместным, многие точки доступа, особенно те, что находятся внутри периметра сети, а также облачные сервисы и теневые ИТ-приложения, не подключаются через брандмауэр.

В качестве первого шага на пути к созданию эффективной стратегии конечных точек следует начать с использования таких вещей, как Open API, общее управление, оркестровка и аналитические пакеты или, хотя бы централизованной системы SIEM для скрепления воедино ваших различных решений безопасности. Эта общая среда или фреймворк безопасности необходима для расширения видимости и контроля на самые отдалённые уголки вашей распределенной сети.

Следующим шагом будет определение фактического уровня имеющейся интеграции. То, что средство защиты конечной точки предоставляется как часть скомпонованного пакета, ещё не значит, что оно действительно интегрировано. И даже те, которые считаются интегрированными, часто предоставляют немногим  больше, чем самые базовые сервисы, такие как интеграция в общий инструмент управления, обеспечивающий  конфигурирование, регистрацию события или отчетность. Этого тоже недостаточно.

Реальная интеграция начинается со способности получать и распространять информацию об актуальных угрозах. Однако не менее важно умение действовать, получив эту информацию. Это включает в себя такие вещи, как способность подтвердить угрозу, немедленная установка флагов для мониторинга живой угрозы, обнаруженной в сети, и даже автоматическая настройка конфигураций и протоколов в ответ на эту угрозу.

В конечном итоге мы должны перестать рассматривать конечные устройства отдельно от остальной сети. Реальность заключается в том, что, как только устройство подключается к вашей сети, оно становится частью вашей LAN/WAN. Это значит, что вам следует иметь возможность:

Быстро идентифицировать любое устройство, которое подключается к вашей сети.
Автоматически оценивать его текущий уровень безопасности, чтобы определить, удовлетворяет ли он базовым стандартам.
Обеспечивать сетевой доступ на основе ролей, базирующийся на критериях, которые включают соответствие политике безопасности.
Непрерывно контролировать конечные устройства в сети и за её пределами, чтобы обнаруживать их инфицирование или взлом.
Автоматически организовывать карантин для взломанных или ограничение доступа для вызывающих подозрения устройств, чтобы начать их лечение.
Собирать и распространять информацию об угрозах в реальном времени, чтобы гарантировать адаптацию всех устройств к новейшему ландшафту угроз.
Активно участвовать в локальных и общесетевых защитных мерах противодействия, для ограничения распространения атак или взломов.

Ответственность за безопасность конечных устройств несут далеко не только ИТ-команды десктопов или конечных точек. Фактически, её понимание и использование требуются от каждого, кто отвечает за сетевую защиту организации. Эти группы нуждаются в лучших видимости, соответствии, контроле и отклике для всей распределённый сети, включая конечные точки сети и устройства вне её.

Процесс цифровой трансформации мировой экономики сопряжен с увеличением количества, сложности и разнообразия киберугроз. В сфере киберпреступности происходит аналогичная трансформация.

В результате инструменты разработки атак становятся более доступными — киберпреступники применяют все более рискованные методы атак. «Приходится констатировать факт: традиционные стратегии и архитектуры безопасности больше не способны обеспечить защиту организаций, выполнивших переход на цифровые технологии», отмечает Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet. Традиционные изолированные средства безопасности недостаточно эффективны. Специализированные продукты и статичные средства защиты должны уступить место интегрированным автоматизированным решениям, поддерживающим оперативное принятие мер широкого действия.

На днях компания Fortinet представила результаты последнего всемирного исследования угроз. Ниже основные выводы, изложенные в отчете.

Прежде всего отмечается, что изощренность атак, ориентированных на поражение организаций, повышается с невиданной быстротой. Например, на базе новой «роевой» технологии киберпреступники разрабатывают угрозы, способные поражать разные устройства, точки доступа и уязвимости. Организациям все сложнее противостоять такому деструктивному сочетанию тенденций, как быстрое развитие угроз и распространение их новых разновидностей.

В среднем на одну организацию сегодня приходится 274 зафиксированных угрозы. По сравнению с предыдущим кварталом этот показатель значительно увеличился: прирост составил 82%. Количество семейств вредоносного ПО также возросло на 25%, а число уникальных вариаций — на 19%. Эти данные свидетельствуют не только об увеличении количества угроз, но и об их продолжающемся развитии. Кроме того, наблюдается прирост процентной доли трафика, зашифрованного при помощи протоколов HTTPS и SSL: в среднем 60% от общего объема сетевого трафика. Безусловно, шифрование эффективно защищает данные, перемещающиеся между средами ядра, облака и конечной точки, однако в то же время эта технология усложняет задачу обеспечения безопасности с помощью традиционных решений.

Из двадцати наиболее разрушительных атак последнего времени три были ориентированы на поражение устройств IoT. Вчетверо увеличился уровень активности эксплойтов, поражающих такие устройства, как WiFi-камеры. Низкая защищенность устройств IoT обусловлена в том числе и тем, что ни одна из зафиксированных атак не была связана с какой-либо известной уязвимостью. Кроме того, в отличие от предыдущих атак, целью которых является определенная уязвимость, новые IoT-ботнеты, например Reaper и Hajime, способны одновременно поражать несколько уязвимостей. Технологии атак по разным направлениям значительно сложнее противостоять. Благодаря гибкой инфраструктуре код ботнета Reaper оперативно обновляется и, в отличие от предыдущих статичных IoT-эксплойтов на базе запланированных атак, Reaper поддерживает развертывание новых, более вредоносных «роевых» атак по мере их появления. О большом потенциале массированных атак, которым обладает ботнет Reaper, свидетельствует скачок числа эксплойтов с 50 000 до 2,7 миллиона. Этот показатель был достигнут всего за несколько дней, после чего количество эксплойтов вновь снизилось до обычного.

Сохраняется тенденция к широкому применению вредоносного ПО, его список возглавляют несколько разновидностей программ-вымогателей. Самая широко распространенная вредоносная программа — это Locky, второе место занимает GlobeImposter. Разработана новая разновидность Locky: прежде чем направить требование выкупа, она маскируется под спам. Кроме того, в глубоком Интернете произошел переход от биткойнов к другим формам цифровых валют, например Monero.

Количество вредоносных программ в сфере майнинга криптовалют растет. По всей видимости, это связано с колебаниями курса биткойна. Пользуясь распространением электронных денег, киберпреступники занимаются майнингом криптовалют в фоновом режиме за счет ресурсов ЦП компьютеров, пользователи которых даже не догадываются о происходящем. Для этого используется такая уловка, как криптоджекинг. Этот метод основан на загрузке сценария в веб-браузер и не требует установки программ или хранения файлов на компьютере.

Вредоносное ПО, направленное на поражение промышленных систем, становится все более изощренным. Всплеск активности эксплойтов, целями которых являются системы управления производственными процессами (ICS) и инструментальные системы безопасности (SIS), свидетельствует о том, что эти скрытные атаки, вероятно, будут все чаще применяться злоумышленниками. В качестве примера можно привести атаку под кодовым названием Triton, и которая скрывает следы своей активности, перезаписывая вредоносный код с применением бессмысленной информации, что препятствует анализу. Упомянутые системы предназначены для управления важнейшими инфраструктурами, что делает их особенно привлекательными для злоумышленников. Успешные атаки чреваты огромным ущербом и долговременными негативными последствиями.

Необходимо отметить разнообразие атак. На протяжении последних нескольких лет стеганографические атаки (основанные на встраивании вредоносного кода в изображения) происходили довольно редко, однако в настоящее время их количество увеличивается. В наборе эксплойтов Sundown стеганография используется в целях хищения данных. За время своей активности этот набор эксплойтов стал рекордсменом по числу атакованных организаций и он используется для распространения программ-вымогателей самых разных видов.

Результаты проведенного в этом квартале исследования подтверждают многие из недавно обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым количество самообучающихся «роевых» сетей и больших групп ботов будет неуклонно увеличиваться. На протяжении ближайших нескольких лет количество направлений атак продолжит расти на фоне сниения возможности комплексного отслеживания и управления современными инфраструктурами. Для обеспечения оперативного и широкомасштабного противодействия атакам организации должны внедрить стратегии, основанные на автоматизации и интеграции. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Лишь благодаря этим мерам сети станут более эффективными и независимыми в принятии решений.

Согласно последним исследования, в нынешнем году 85% организаций столкнулись с нарушениями информационной безопасности, и 53% ИТ- руководителей остаются уверены в эффективности принятых решений в этой области. Однако по мнению большинства решение приоритетных задач в сфере безопасности, таких как обучение персонала, происходит недостаточно эффективно

Как отметил Патрис Перш (Patrice Perche), старший исполнительный вице-президент Fortinet, в своей борьбе с киберпреступностью ИТ-руководители по-прежнему отдают приоритет обслуживанию и обновлению средств информационной безопасности. Однако он заявил, что другим методам, входящим в состав комплексной стратегии информационной безопасности, уделяется недостаточно внимания, несмотря на их важность и эффективность. В частности, противодействие разрушительным интернет-атакам, которые станут возможными в ближайшем будущем, требует внедрения базовых мер защиты и комплексных программ обучения, а также развертывания систем безопасности, поддерживающих автоматизацию, интеграцию и стратегическую сегментацию.

Кроме озвученных выше цифр глобальное исследование корпоративной безопасности в организациях, штат которых составляет более 250 сотрудников, показало, что 72% руководителей выражают уверенность в том, что они добились более существенных успехов в сфере информационной безопасности, чем их конкуренты, и лишь 6% руководителей признали свое отставание. Результаты исследования указывают на важность применения передовых методов и внедрения базовых мер обеспечения информационной безопасности, а также на недопустимость легкомысленного отношения к предотвращению кибератак.

Согласно утверждениям респондентов исследования, в 33% нарушений, зафиксированных на протяжении последних двух лет, злоумышленники применяли методы социальной инженерии, программы-вымогатели и фишинговые сообщения эл. почты. В 2018 г. 67% организаций планируют внедрить программы обучения сотрудников основам ИТ-безопасности. Таким образом, руководители организаций начинают понимать, что к числу причин нарушений, помимо вредоносной активности киберпреступников, относятся также легкомыслие и безграмотность сотрудников.

Другая приоритетная задача организаций — это защита доступа к сети. Лишь половина (50%) ИТ-руководителей уверены в полном охвате инфраструктуры функциями отслеживания и подконтрольности всех устройств с сетевым доступом. Такова же доля CIO, убежденных в своей возможности отследить состояние уровня доступа всех сторонних лиц, которые часто получают доступ к сети. Более половины, а точнее 54% опрошенных полагают, что они в полной мере способны отслеживать деятельность всех сотрудников и управлять ею. Недостаточная надежность функций отслеживания сети свидетельствует о том, что это направление развития должно стать одним из приоритетных для организаций. В то же время лишь 24% организаций включили в свои планы на 2018 г. внедрение базовых мер безопасности, таких как сегментация сети. Эта мера предотвращает распространение вредоносного ПО, проникшего в сеть.

ИТ-руководителям был задан вопрос о том, какие принятые в прошлом решения они хотели бы изменить. Из опрошенных 42% заявили, что в целях предотвращения нарушений следовало уделить больше внимания повышению квалификации сотрудников в сфере безопасности. Обучение пользователей снижает вероятность того, что они станут жертвами злоумышленников, деятельность которых направлена на поражение одного из слабейших звеньев в системе информационной безопасности — самих сотрудников.

В 71% случаев руководящий состав организаций ставил нарушения безопасности в вину ИТ-отделу: либо конкретному специалисту (29%), либо отделу в целом (42%). Лишь в 28% случаев вина возлагается на пользователей, не являющихся сотрудниками ИТ-отдела, несмотря на то, что именно они нередко рассматриваются как наиболее уязвимое звено. ИТ-отделы не должны нести на себе всю полноту ответственности за нарушения безопасности. Распространение концепции BYOD и технологий IoT, использование облачных приложений, теневые ИТ-ресурсы — все эти факторы приводят к тому, что ответственность за обеспечение безопасности ложится на организацию в целом и всех ее сотрудников.

Необходимо отметить важность сбалансированных вложений в приоритетные направления развития информационной безопасности

В 2017 г. инвестиции ИТ-руководителей в ключевые направления развития распределились следующим образом:

• 37% — новые службы и средства безопасности

• 21% — внедрение политик и процедур безопасности

• 14% — обновление средств безопасности

• 10% — обучение персонала

• 6% — аудит и оценка

Инвестирование в развитие технологий позволяет предотвратить вредоносные атаки и организовать противодействие им за счет внедрения комплексных средств безопасности. В 2018 г. объем вложений в разработку новых и обновление существующих средств безопасности останется на прежнем уровне. Кроме того, согласно заявлениям 41% респондентов, инвестиции в обучение персонала войдут в число трех приоритетных направлений вложения средств.

В соответствие с исследованиями Fortinet, сегодня можно вести речь о трех основных взаимодополняющих угрозах: это эксплойты-приложения, вредоносное ПО и ботнеты.

Итак, какие же основные тенденции?

Возникновение неотложных проблем в связи с серьезностью атак. В 3-м квартале 2017 г. 79% организаций столкнулись с серьезными атаками. По данным исследований, проводившихся на протяжении квартала, было зафиксировано 5973 уникальных эксплойта, 14 904 уникальные вариации вредоносных программ, принадлежащих к 2646 семействам вредоносного ПО, и 245 уникальных ботнетов. Помимо этого, за текущий год компания Fortinet выявила 185 уязвимостей «нулевого дня».

Повторное появление ботнетов. Многие организации неоднократно подвергались атакам, при которых использовались одни и те же ботнеты. Это настораживающая статистика, из которой можно сделать два вывода. Во-первых, масштабы атаки могли уйти от внимания организаций, вследствие чего ботнеты перешли в состояние покоя и вновь активизировались после возобновления коммерческой деятельности на прежнем уровне. Во-вторых, первоисточник угрозы мог остаться неизвестным, и организации повторно подверглись поражению при помощи того же вредоносного ПО.

Поражение уязвимостей при помощи технологии «роя». Эксплойт-приложение, с помощью которого злоумышленники проникли в сеть компании Equifax, оказался наиболее распространенным в прошлом квартале: более 6000 уникальных экземпляров. В текущем квартале этот эксплойт сохранил за собой лидирующее положение по распространенности. Известно, что в число 10 наиболее распространенных угроз вошли три эксплойта, применявшиеся для атаки на инфраструктуру Apache Struts. Это пример того, как злоумышленники создают «рои» эксплойтов для атак на широко представленные уязвимые цели.

Мобильные угрозы. Каждая четвертая организация сталкивалась с мобильным вредоносным ПО. Впервые удалось выявить четыре наиболее распространенных семейства мобильного вредоносного ПО. Это свидетельствует о том, что мобильные устройства будут все чаще становиться целью злоумышленников, применяющих автоматизированное полиморфное ПО. Это чрезвычайно настораживающая тенденция, так как в разгаре сезона праздничных покупок многие люди прибегают к мобильному шопингу и приобретают устройства IoT в качестве подарков.

Широко распространенное и скрытое вредоносное ПО. Вредоносные программы, принадлежащие к основным семействам, оснащены одинаковыми функциями: загрузка, отправка и внедрение вредоносного ПО в системы. При помощи такой процедуры вредоносный код в составе динамически изменяющегося пакета успешно обходит устаревшие средства защиты. Кроме того, широко применяются разновидности вредоносного ПО, которые получают удаленный доступ к системе, захватывают вводимые пользователями данные и собирают сведения о системе. В последнее время эти продвинутые угрозы получают все более широкое распространение. По результатам наблюдений выявлены тенденции к повышению степени интеллектуальности и автоматизации вредоносного ПО.

Существование программ-вымогателей. В первой половине года активность на этом направлении атак была низкой, однако затем появилась новая серьезная угроза — программа-вымогатель Locky, которая применялась в трех кампаниях. Об атаках с использованием этой программы сообщили около 10% организаций. Кроме того, на протяжении квартала по меньшей мере 22% организаций столкнулись с другими типами программ-вымогателей.

Атаки киберпреступников на организации любого размера. Предприятия среднего бизнеса все чаще подвергаются атакам при помощи ботнетов, что вынуждает их решать проблемы безопасности на уровне, который превышает их возможности. Организации среднего бизнеса представляют собой привлекательную цель для злоумышленников, так как они не всегда обладают столь же обширными ресурсами безопасности и эффективными технологиями, что и более крупные организации, но при этом могут располагать ценными данными. Кроме того, атаки на предприятия среднего бизнеса становятся все более частыми вследствие распространения облачных технологий в средах этих предприятий.

Важность безопасности систем SCADA. Помимо широкомасштабных атак, например атаки на инфраструктуру Apache Struts, некоторые угрозы действуют скрытно или вызывают серьезные негативные последствия, которые затрагивают не только организацию, ставшую первоначальной целью. Из числа зафиксированных эксплойтов, направленных на поражение разных типов систем диспетчерского управления и сбора данных (SCADA), лишь один эксплойт преодолел значение порога распространенности 1/1000. Каждый зафиксированный эксплойт поразил менее 1% организаций. Проникновения в корпоративные сети и сбои — это серьезные проблемы, однако нарушения безопасности сред SCADA, к сожалению, еще более опасны, так как они ставят под удар физические инфраструктуры, от бесперебойной работы которых зависят человеческие жизни. Таким образом, приведенная статистика заслуживает внимания.

Резюмируя можно привести слова Фила Квада (Phil Quade), руководителя по информационной безопасности компании Fortinet. Он отметил, что вне зависимости от того, идет ли речь об атаке при помощи WannaCry в мае или поражении Apache Struts в сентябре, можно заметить, что входной точкой для злоумышленников снова и снова становятся давно известные, но остающиеся неисправленными уязвимости. Очевидно, что бдительное отслеживание новых угроз и уязвимостей должно быть одной из приоритетных задач организаций, однако важно также контролировать и события внутри корпоративной среды. Как никогда актуальными стали задачи обеспечения высокого уровня защиты и внедрения подходов, основанных на применении систем безопасности и поддерживающих автоматизацию, интеграцию и стратегическую сегментацию.

Созданная киберпреступниками экономика использует инновационные решения в сфере искусственного интеллекта и автоматизации, создавая новые механизмы атак на важнейшие инфраструктуры при помощи больших групп устройств IoT

Как отметил Дерек Мэнки (Derek Manky), специалист по вопросам мировой безопасности, компания Fortinet, в одном из своих выступленией инновационные технологии, которые способствуют развитию виртуальной экономики, в то же время создают почву как для конструктивной, так и для злонамеренной деятельности в сфере информационной безопасности.

Вследствие стремительного распространения подключенных устройств в настоящее время возникают гиперподключенные инфраструктуры. Обеспечить их безопасность чрезвычайно нелегко, что создает благоприятные условия для деятельности киберпреступников. Кроме того, злоумышленники задействуют технологии автоматизации и искусственного интеллекта для непрерывной разработки огромного количества новых угроз, охватывающих все направления. Такие атаки, как WannaCry и NotPetya, служат предостережением о потенциальных масштабных нарушениях и негативных экономических последствиях, связанных с вымогательством и блокировкой доступа к интеллектуальной собственности и коммерческим услугам. Эффективное противодействие интеллектуальным атакам будущего возможно только за счет внедрения подхода к защите инфраструктур, в основе которого лежит система безопасности, поддерживающая автоматизацию, интеграцию и стратегическую сегментацию«.

Компания Fortinet на днях обнародовала прогнозы, составленные специалистами отдела исследования угроз FortiGuard Labs и касающиеся развития угроз по всему миру в 2018

На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся. Наблюдаются такие тенденции, как распространение подключенных устройств, имеющих доступ к персональным и финансовым данным, и появление новых подключений между самыми разными объектами — от скоплений устройств IoT и важных инфраструктур автомобилей, домов и офисов до комплексов «интеллектуальных городов». Эти тенденции способствуют появлению новых возможностей для киберпреступников и других злоумышленников. Последние достижения в таких сферах, как разработка искусственного интеллекта, активно используются на рынке киберпреступности в целях создания более эффективных атак.

Распространение самообучающихся «роевых» сетей и больших групп ботов. По результатам анализа таких изощренных атак, как Hajime, Devil’s Ivy и Reaper, мы можем заявлять, что в будущем на смену ботнетам придут интеллектуальные скопления пораженных устройств — «роевые» сети. Это приведет к появлению более эффективных направлений атак. «Роевые» сети будут задействовать технологию самообучения в целях эффективного поражения уязвимых систем на беспрецедентном уровне. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными. Помимо этого, интеллектуальные устройства-«зомби» будут самостоятельно выполнять команды без вмешательства оператора ботнета. Таким образом, количество устройств в составе «роевой» сети будет расти по экспоненте, как и в скоплениях роящихся насекомых. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз. Несмотря на то, что в настоящее время подобные атаки пока еще не проводятся по технологии «роя», так как их охват ограничен особенностями кода, злоумышленники могут внести изменения, направленные на повышение способности ботов к самообучению. Преступники будут использовать большие группы подконтрольных устройств (ботов) для одновременного выявления и поражения разных направлений атак. Высокая скорость осуществления этих массированных атак приведет к исчезновению момента предсказуемости, который необходим для противодействия атакам. В предыдущем квартале текущего года отдел FortiGuard Labs зафиксировал 2,9 миллиарда попыток установки связи между ботнетами. Это свидетельствует о серьезности потенциальных последствий распространения «роевых» сетей и больших групп ботов.

Вымогательство в сфере коммерческого обслуживания — это доходное дело. Количество атак при помощи червей-вымогателей и других типов программ за последний год увеличилось в 35 раз, однако это еще не предел. T Вероятно, следующей целью программ-вымогателей станут поставщики облачных услуг и другие коммерческие организации, деятельность которых направлена на обеспечение регулярного поступления дохода. Поражение созданных поставщиками облачных услуг сложных гиперподключенных сетей может привести к нарушению деятельности сотен коммерческих организаций, государственных учреждений, важных инфраструктур и организаций здравоохранения. Согласно нашему прогнозу, киберпреступники начнут сочетать технологию искусственного интеллекта с методами атак, ориентированными на поиск, выявление и использование уязвимостей сред поставщиков облачных услуг по всем направлениям. Подобные атаки чреваты такими сокрушительными последствиями, как огромные убытки поставщиков облачных услуг в связи с уплатой выкупов преступникам и перерывы в обслуживании сотен и тысяч коммерческих организаций, а также десятков тысяч и даже миллионов их клиентов.

Изменчивое вредоносное ПО следующего поколения. В скором времени, а возможно, и в следующем году мы столкнемся с вредоносным ПО, от начала до конца разработанным при помощи машин. При создании такого ПО будут использоваться технологии автоматизированного выявления уязвимостей и комплексного анализа данных. Мы уже знакомы с полиморфным вредоносным ПО, однако вскорости ситуация примет новый оборот: злоумышленники начнут применять технологию искусственного интеллекта для создания сложных кодов, способных скрываться от обнаружения при помощи написанных машинами процедур. Используя возможности естественного развития уже существующих средств, злоумышленники будут разрабатывать специализированные эксплойты, направленные на максимально эффективное поражение определенных уязвимостей. Вредоносное ПО уже применяет модели обучения в целях обхода систем безопасности. Кроме того, ежедневно появляется более миллиона вариаций вирусов. Однако на сегодняшний день разработка этих вариаций осуществляется в соответствии с алгоритмом, результат реализации которого не отличается сложностью и не поддается контролю. За один квартал 2017 г. в отделе FortiGuard Labs было зафиксировано 62 миллиона образцов вредоносного ПО. При помощи анализа миллионов экземпляров вредоносного ПО нам удалось выявить 16 582 вариации, в основе которых лежат 2534 семейства вредоносного ПО. Каждая пятая организация сообщила о выявлении вредоносного ПО, целью которого являлись мобильные устройства. В следующем году эта проблема станет еще более актуальной в связи с повышением степени автоматизации вредоносного ПО.

На передний план выступают важные инфраструктуры. Поставщики важных инфраструктур по-прежнему подвергаются наиболее существенному риску в связи со стратегическими и экономическими угрозами. Речь идет об организациях, которые обеспечивают функционирование сетей высокого значения, предназначенных для защиты важнейших служб и данных. Известно, что важные инфраструктуры и сети на базе эксплуатационных технологий в большинстве своем отличаются уязвимостью, так как изначально они были изолированы от других сетей. В связи с распространением высокоскоростных цифровых подключений среди сотрудников и клиентов требования к этим сетям изменились. Появилась потребность в развертывании современных систем безопасности в сетях, рассчитанных на автономную работу. Такие факторы, как важность этих сетей и потенциально разрушительные последствия их поражения или отключения, вынуждают поставщиков важных инфраструктур вступать в своего рода гонку вооружений с государственными, преступными и террористическими организациями. В связи с высокой активностью злоумышленников, а также сближением эксплуатационных и информационных технологий обеспечение безопасности важных инфраструктур становится приоритетной задачей на 2018 г. и последующие годы.

Темная паутина и экономика киберпреступности предлагают новые услуги на базе автоматизации. Одновременно с развитием сферы киберпреступности происходит и расширение темной паутины. Согласно прогнозу, в связи с деятельностью организаций в составе инфраструктуры «Преступление как услуга», использующих передовые технологии автоматизации, в темной паутине станут доступными новые услуги. Уже зафиксированы случаи выставления на продажу на рынках темной паутины современных служб, разработанных на основе технологии машинного обучения. В состав некоторых предложений, к примеру, входит служба «полной невидимости» (Fully Undetectable, FUD). При помощи этой технологии разработчики угроз за определенную плату загружают коды атак и вредоносное ПО в службу анализа. Затем они получают отчет о возможности обнаружения угрозы средствами безопасности разных поставщиков. В будущем этот цикл сократится: коды угроз, которые были выявлены в лабораториях, будут оперативно изменяться при помощи машинного обучения, что усложнит обнаружение используемых киберпреступниками средств проникновения. «Песочницы», оснащенные технологией машинного обучения, поддерживают своевременное выявление ранее неизвестных угроз и оперативную разработку мер защиты. Безусловно, аналогичный подход может использоваться иным образом: для автоматизированного сопоставления сетей, поиска целей атак и выявления наименее защищенных из них, анализа цели с последующим проведением виртуального теста на проникновение и запуском специально разработанной атаки.

В связи с появлением новых технологий в сфере автоматизации и искусственного интеллекта перед изобретательными киберпреступниками открываются новые возможности для нанесения ударов по виртуальной экономике. В основе средств защиты должны лежать интегрированные технологии безопасности, актуальные данные об угрозах и динамически конфигурируемые адаптивные системы сетевой безопасности. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Благодаря этим мерам сети станут более эффективными и независимыми в принятии решений. Такой подход не только повышает эффективность отслеживания и способствует централизации управления, но и позволяет осуществлять стратегическую сегментацию в целях обеспечения более полного охвата сетевой инфраструктуры системой безопасности. Эта концепция поддерживает оперативное выявление пораженных устройств, их изоляцию и устранение угроз в целях противодействия атакам в разных сетевых экосистемах — от конечных устройств и локальных сетевых ресурсов до облака. Кроме того, базовые меры защиты должны войти в состав основных протоколов безопасности. Это требование не всегда учитывается, однако именно его исполнение является ключевым фактором предотвращения негативных последствий, вызывающих опасения у всех нас.

Согласно данным отчета Fortinet о киберугрозах, Threat Landscape Report, за II квартал 2017 г. подавляющее количество пострадавших организаций буквально напрашивались, чтобы их взломали, на протяжении многих лет злостно пренебрегая установкой доступных патчей и обновлений.

В девяти из десяти случаев успешные кибератаки были нацелены на уязвимости систем и устройств, выявленные по меньшей мере за три года до инцидента, для которых имелись в наличии все необходимые патчи. Более того, 60% взломанных организаций пострадали от «дыр» в защите, которые они не удосужились закрыть за 10 и более лет.

Сегодня, когда к Интернету подключены не только корпоративные интранет, но и миллиарды IoT-устройств, сложность обеспечения контроля, видимости и защиты возрастает многократно. Одновременно, широкое распространение автоматизированных атак увеличивает и вероятность того, что упущения обернутся серьёзными проблемами для предприятия и его клиентов.

Прошлогоднее ПО Mirai стало первым ботнетом, использовавшим IoT для организации беспрецедентных по своим масштабам атак DDoS. Текущий год принес новый урожай IoT-угроз, таких как кросс-платформенный Hajime или самораспространяющийся Poison Ivy с многочисленными инструментальными наборами, встроенными в них.

Дерек Мэнки (Derek Manky), занимающийся в Fortinet глобальными стратегиями безопасности, перечислил четыре ключевых практики обеспечения защиты IoT.

Управление патчами лишь одна из них, хотя и первая и самая важная. Целью WannaCry была уязвимость, «заплата» для которой была выпущена за два месяца до начала атак. Спустя еще две недели в ту же болевую точку ударило ransomware Petya и все ещё обнаружило миллионы непропатченных устройств.

Планируя безопасность IoT нужно также учитывать, что есть миллиарды уязвимых устройств, для которых физические обновления недоступны. Поэтому кибергигиена предприятия должна включать системы предотвращения вторжений, способные виртуальным образом латать прорехи в защите IoT и прочего оборудования.

Второй совет Мэнки заключается в избыточной сегментации резервных копий данных. Все бэкапы следует сканировать на вредоносное ПО, а чистые копии хранить вне сети. Такой подход защитит и от вымогательских атак ransom-of-service, пик которых ожидается в этом году.

Третий важный аспект это полная видимость, которая должна распространяться на ядро сети и на самую отдалённую периферию, включая устройства с дистанционным подключением и облака. Каждый взлом должен предоставлять богатую информацию о технике, тактике и процедурах хакеров, помогающую идентифицировать их, понять их цели и мотивации.

Четвёртый и последний совет — защита должна быть своевременной. Срок реагирования на вторжение необходимо предельно сократить. Для этого требуется координация профилактических процедур, интеграция разнородных компонентов информационной экосистемы предприятия с упрощением последней, консолидация решений безопасности и автоматизация взаимодействия между системами защиты.

«Многие руководители отделов безопасности предприятий спрашивают меня — «Какой была бы ваша рекомендация по IoT-безопасности одной фразой?», — пишет Мэнки. — Мой ответ: «Знайте ваши цифровые активы. Обеспечьте видимость, потому что вы не сможете защитить то, чего не видите»».

Каждой организации требуется постоянно обновлять данные инвентаризации сетевых активов, включая сервисы. При анализе рисков и планировании мер безопасности следует всякий раз задавать вопрос — «Если эти данные или эта служба станут недоступны онлайн, то какими потерями это обернётся для доходов и для бренда?».

Организации вступают на путь цифровой трансформации и в этих условиях информационная безопасность перестает быть одним из направлений инвестиций в ИТ-сферу и превращается в область стратегических бизнес-решений.

На днях компания Fortinet результаты глобального исследования корпоративной безопасности. И один из главных выводов этого отчета — почти половина ИТ-руководителей полагает, что руководящий состав организаций не уделяет надлежащего внимания вопросу обеспечения информационной безопасности, несмотря на происходящие резонансные кибератаки. Тем не менее, многие ИТ-специалисты убеждены, что переход к облаку, являющийся одним из этапов процесса корпоративной цифровой трансформации, приведет к тому, что обеспечение безопасности станет приоритетным направлением.

Почти 48% опрошенных руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров. Это не влияет на бюджет: в 61% организаций расходы на обеспечение безопасности составляют более 10% ИТ-бюджета. Стоит отметить, что это достаточно высокий показатель. 71% опрошенных респондентов сообщили об увеличении выделенного на обеспечение ИТ-безопасности бюджета по сравнению с прошлым годом.

ИТ-руководители убеждены, что информационная безопасность должна войти в число приоритетных задач в сфере управления. По мнению 77% респондентов, ИТ-безопасность должна стать предметом пристального внимания руководящего состава.

Отмечается три ключевых фактора, способствующих переходу информационной безопасности в разряд приоритетных направлений.

Во-первых, рост количества нарушений безопасности и международных кибератак. За последние два года 85% организаций столкнулись с нарушениями безопасности. Наиболее распространенными технологиями атак (47% респондентов) стали вредоносное ПО и программы-вымогатели.

49% ИТ-руководителей заявили, что международные кибератаки, например WannaCry, привели к повышению приоритетности направления ИТ-безопасности. Сфера безопасности привлекает внимание руководящего состава в связи с такими факторами, как масштабность и направленность международных кибератак. Теперь вопросы безопасности обсуждаются не только в ИТ-отделах.

Во-вторых, повышение давления со стороны регулирующих структур. Как сообщили 34% респондентов, другим важным фактором, привлекающим внимание руководящего состава, является рост количества нормативных требований. Например, в скором времени на территории Европейского союза вступит в силу документ GDPR («Общие положения о защите данных»), предусматривающий существенные штрафы. Безусловно, эти тенденции представляют интерес для руководящего состава организаций.

И наконец в-третьих, переход к облачным технологиям является фактором повышения приоритетности вопросов безопасности. Для многих организаций переход к облаку является частью процесса цифровой трансформации. 74% ИТ-руководителей выразили уверенность в том, что вопросы безопасности облака приобретают приоритетное значение. 77% респондентов также заявили, что обеспечение безопасности облака, наряду с вложениями в развитие поддерживающих эту функцию инфраструктур безопасности, становится задачей первостепенной важности для руководящего состава. В связи с этим половина опрошенных респондентов (50%) в течение ближайших 12 месяцев планируют инвестировать средства в обеспечение облачной безопасности.

В настоящее время мы отслеживаем новый вариант ransomware по всему миру, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya.
 
Исследователи ссылаются на него как на Petya, так и на NotPetya, поскольку не определено, является ли это вредоносное ПО вариантом, принадлежащим семье Petya. Новый зловред оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие ​​как энергетика, банковское дело и транспортные системы.

Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки Wannacry в мае нынешнего года. Подобно Wannacry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworms. Вместо того, чтобы нацеливаться на одну организацию, ransomworms используют широкомасштабный подход, который увеличивает область действия атаки.

Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya / NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199. На данный момент мы продолжаем исследования, чтобы подтвердить это. Пока применение соответствующего патча MS Office для вашей системы защитит вас от этого вектора атаки.

Как только уязвимое устройство подверглось заражению, Petya / NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долларов в цифровой валюте Биткойн. Затем он указывает, что выключение компьютера приведет к полной потере системы.

Это иная тактика, чем обратный отсчет времени или постепенное стирание файлов данных, как в других версиях ransomware. С большинством атак Ransomware единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, основной риск - это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.

Любопытно, что в дополнение к эксплойтам Microsoft Office Petya / NotPetya использует тот же вектор атаки, что и Wannacry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, наша команда AV выпустила новую антивирусную сигнатуру в течение нескольких часов после выявления атаки, чтобы улучшить первую линию защиты.

Необходимо обратить внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки Wannacry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.

С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.

На сегодняшний день ясно: 1) слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. 2) эти же организации также не располагают достаточными инструментами для обнаружения таких видов эксплойтов.