`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Год открытий

Удел хорошего рассказчика — углубляться в неизведанное. Покидать нашу зону комфорта и исследовать миры, которые часто труднодоступны, преодолевая испытания и препятствия на своём пути. Его задача: достичь конечного пункта назначения, который, зачастую, тоже бывает неизвестен.

В 2018 году исследователи из Check Point посвятили себя изучению неизвестных уголков киберпространства и того, что там скрывается. В этом посте мы оглядываемся назад на сделанные ими открытия, которые будучи интересными сами по себе, также являются одной из движущих сил, обеспечивающих нашим клиентам защиту от сегодняшних киберугроз.

Вхождение в Тёмный Веб

Понятно, что спокойная жизнь закончилась, если в онлайн-чатах обсуждаются способы реализации кибератак. Однако оказалось, что киберпреступники выносят своё общение за пределы этих, более традиционных форумов. С помощью мобильных приложений для обмена шифрованными и анонимными сообщениями, таких как Telegram, они могут искать и нанимать хакеров для проведения своих атак, покупать и продавать продукты и услуги тем, кто больше заплатит.

При столь низком входном барьере, желающим стать киберпреступником несложно вступить в игру. Обнаружение продвинутого набора Phishing Kit в апреле прошлого года показало, насколько просто и дешево можно приобрести эти готовые продукты и, с минимальными техническими знаниями, быстро приступить к выманиванию у потребителей данных их кредитных карт.

Однако, если исследователи безопасности изучают тёмное «подбрюшье» Интернета и публикуют свои выводы для пользы других, эта же прозрачность означает, что преступники также ищут возможности улучшения своих методов и обновления своего вредоносного ПО в режиме реального времени. Пример этого криминального мышления продемонстрировало развитие GandCrab, доказавшее, что в современном мире даже ransomware является гибким.

Освоение новых территорий

В августе исследователи Check Point представили миру новый вектор атак, рассказав, как можно атаковать всю ИТ-сеть организации, используя всего лишь номер факса. С учётом того, что во всём мире по-прежнему используются сотни тысяч факсимильных аппаратов, это открытие вызвало глубокую обеспокоенность. Настолько глубокую, что крупнейший в Великобритании покупатель факсимильных аппаратов, NHS, планирует запретить их в будущем из-за этого открытия.

Полным ходом использовались также фейковые новости, и положение отнюдь не улучшила новая уязвимость в популярном мобильном приложении для обмена сообщениями, WhatsApp. Баг, названный «FakesApp», позволил преступникам перехватывать сообщения и манипулировать ими для создания и распространения дезинформации.

Весьма поучительным стало исследование раскрывшее многим глаза на уязвимость облачной инфраструктуры DJI, ведущего мирового производителя дронов. Благодаря недоработке в процессе идентификации пользователя злоумышленник мог получать доступ к полётным журналам, к трансляции с камер в реальном времени и к отснятым в полёте фото- и видеоматериалам.

Мобильные странствия

Прошлогодний экскурс в угрозы для мобильных устройств начался, когда более 60 поддельных детских приложений были загружены с официального ресурса Google Play Store, что привело к семи миллионам случаев заражения вредоносным ПО «AdultSwine». Несмотря на усилия Google по обеспечению безопасности своего магазина, вредоносной программе также удалось избежать обнаружения, замаскировавшись в 22 приложениях для фонарика: ничего не подозревающие жертвы загрузили его почти 7,5 миллионов раз.

Уязвимости были обнаружены и в самом мобильном оборудовании, в частности, в процедуре обновления клавиатуры мобильных устройств LG. Это история о том, как производители создают устройства для повседневного использования, показала, насколько осторожны должны быть организации, разрешая сотрудникам выполнять служебные функции со своих смартфонов.

Аналогичным образом, наше исследование атак Man-in-the-Disk предупредило разработчиков приложений об опасностях, которые кроются в том, как они используют хранилище External Storage — общий ресурс для всех приложений, на который не распространяется защита встроенной «песочницы» системы Android.

Добыча золота

Пути к новым открытиям в 2018 году были также усыпаны атаками на серверы и конечные точки организаций, часто с помощью криптовзломщиков. Если ransomware ранее приносило киберпреступникам быструю прибыль путём разбойного нападения, то криптовзлом обеспечивал им долгосрочный источник дохода благодаря более скрытным проникновениям. Так, менее чем за 24 часа в январе прошлого года вредоносное ПО RubyMiner попыталось заразить около 30% сетей по всему миру.

Поэтому не стало сюрпризом и когда, месяцем позже, наши исследователи натолкнулись на одну из крупнейших из когда-либо виденных операций вредоносного майнинга, в рамках кампании JenkinsMiner, нацеленной на Jenkins — ведущий сервер автоматизации с открытым исходным кодом.

С течением времени, в ходе нашего исследования KingMiner стало очевидно, что криптовзломщики продолжают развиваются. Оперативно вышли две улучшенные версии KingMiner, в которых злоумышленник использовал различные способы обхода методов эмуляции и обнаружения.

Уклонение от злобного взгляда государственного шпионажа Но наши путешествия, показали, что не только киберпреступники извлекали выгоду из злонамеренного использования новых технологий. Государственные и негосударственные хакеры занимались манипуляциями с конечными пользователями в целях шпионажа. Те, кто стоял за кампанией Domestic Kitten, побуждали свои жертвы загружать приложения, заражённые шпионским ПО, для получения конфиденциальной информации о них, такой как журнал звонков, SMS, данные о местоположении, фотоснимки и пр.

Негосударственные злоумышленники также были пойманы на шпионаже под прикрытием чемпионата World Cup, попытках заставить объекты атаки нажать на фишинговые ссылки и загрузить поддельное мобильное приложение для планирования игр. Вредоносные компоненты внутри него обеспечивали возможность сбора SMS, телефонных контактов, голосовых записей, фотографий и многого другого. Эта атака послужила хорошим примером того, как преступники используют крупные события, чтобы завлекать потенциальные жертвы и прятаться среди десятков нормальных приложений, связанных с этими мероприятиями.

И, наконец, достигнув одного из самых неизведанных уголков мира, Северной Кореи, наши бесстрашные исследователи смогли углублённо изучить SiliVaccine, собственное антивирусное решение этого Закрытого Королевства. Одним из нескольких интересных открытий стало, что ключевой компонент SiliVaccine представляет собой копию механизма обнаружения вирусов фирмы TrendMicro. Любопытно, что SiliVaccine также позволяло одному конкретному вредоносному ПО походить сквозь свою защиту. Поскольку Северная Корея известна тем, что она контролирует иностранных журналистов и собственных диссидентов, это, по меньшей мере, должно вызвать удивление.

Заключение

Как и все большие приключения, прошлогоднее исследование киберпространства поставило перед нашей командой по изучению угроз некоторые серьёзные проблемы и препятствия. В наступившем 2019 году, Check Point Research, несомненно, расскажет о многих других встретившихся ей типах вредоносных программ, уязвимостей и эксплойтов.

Ландшафт киберугроз развивается и превращается в неизведанные территории, но можете быть уверены, что наша команда будет там, чтобы принимать вызовы и учиться на них. Встречая препятствия и преодолевая их, мы будем вновь возвращаться с новыми знаниями, которые сделают сильнее не только нас, но и организации, которые мы защищаем.

Пять советов, как не стать жертвой ransomware

Индустрия ransomware, оцениваемая примерно в 11,5 млрд долл. в год, это большой бизнес для преступников и большая головная боль для бизнеса. Целями кибератак могут стать предприятия и организации любого размера – от крупной корпорации до крошечной семейной фирмы.

В борьбе против ransomware, лучшая стратегия – не стать жертвой. Но с чего начать? Всего пять базовых советов, но крайне  важных.

Делайте бэкап ваших данных и файлов

Этот пункт может показаться банальным, но он остается крайне актуальным. С изобретением более надёжных сетей и облачного хранения, многие просто отвыкли создавать резервные копии файлов и данных. Однако, в случае атаки ransomware такие копии можно использовать, чтобы не платить выкуп. Как минимум, они позволят вам решить, что дешевле: восстановление из бэкапа или требуемый выкуп.

Есть и другая причина, почему крайне важно иметь эти резервные копии. Даже если вы не против уплатить выкуп, помните, что вам предстоит довериться киберпреступникам. Какая гарантия, что они действительно предоставят вам ключ дешифровки после оплаты? Или, что хуже, вы платите, они дают вам ключ, а вы по-прежнему не можете восстановить свои файлы. Ransomware может иметь ошибки, либо может не работать в вашей среде. Стоит учитывать, что это не коммерческое программное обеспечение, прошедшее тщательную проверку качества.

Поскольку доверять злоумышленнику как-то не очень логично, важно, чтобы вы последовательно создавали резервные копии важных файлов, предпочтительно используя физически изолированное (air-gapped) хранилище.

Учите сотрудников распознавать потенциальные угрозы

Просвещение пользователей всегда было ключевым элементом предотвращения заражения вредоносным ПО. Остаётся это справедливым и для ransomware. Откуда пришли файлы, почему сотрудник получил их и можно ли доверять отправителю – это абсолютно базовые вещи, но многие все еще не обращают внимание на них.

Как это не удивительно, но самыми распространёнными методами заражения в кампаниях ransomware остаются спам и фишинговые e-mail. Очень часто, внимательность пользователя может предотвратить атаку до её наступления. Найдите время на обучение своих пользователей, чтобы они немедленно сообщали вашим командам безопасности, если увидят что-то необычное.

Ограничьте доступ только теми, кому он нужен

Чтобы свести к минимуму потенциальные последствия для вашей организации от успешной атаки ransomware, убедитесь, что пользователи имеют доступ только к информации и ресурсам, необходимым им выполнения своих обязанностей. Предприняв этот шаг, вы значительно уменьшите риск горизонтального продвижения атаки ransomware внутри вашей сети. Устранение ransomware в одной пользовательской системе может быть сложным делом, но потенциальные проблемы от общесетевой атаки могут оказаться гораздо более серьёзными.

Следите за своевременным обновлением защиты на основе сигнатур

С точки зрения информационной безопасности, безусловно выгодно иметь антивирусную и другие виды сигнатурной защиты и регулярно их обновлять. Хотя сигнатурные технологии сами по себе не достаточны для отражения сложных атак, способных обходить традиционную защиту, они являются важной частью комплексной системы безопасности. Новейшая антивирусная защита может защитить вашу организацию от уже известных вредоносных программ, которые обладают узнаваемой сигнатурой.

Внедряйте многоуровневую безопасность, включая подвинутые технологии предотвращения атак

Говорят, что лучшая защита это нападение, и многоуровневый подход к обеспечению безопасности дает наилучшую возможность отразить атаку ransomware и нивелировать ущерб, который она может нанести. Помимо традиционных, сигнатурных инструментов защиты, таких как антивирусы и средства предотвращения вторжений (IPS), организациям необходимо внедрять дополнительные слои, блокирующие новое вредоносное ПО, не имеющее известных сигнатур. Два ключевых компонента для рассмотрения – удаление угроз (дезинфекция файлов) и эмуляция угроз (продвинутая песочница). Каждый такой элемент обеспечивает собственную, отличную от других защиту, а используемые вместе они предлагают исчерпывающее решение для защиты от неизвестных вредоносных программ на уровне сети и напрямую, в конечных устройствах.

Реализация ключевых, и не таких уж сложных, превентивных мер в борьбе с ransomware может стать тем обстоятельством, которое помешает вам пополнить список жертв. Всегда делайте резервные копии ваших данных, чтобы иметь их наготове, если вдруг ваши файлы окажутся зашифрованными. Учите сотрудников распознавать угрозы и избегать их, лимитируйте доступ только системами и файлами, требующимися им по роду службы. Поддерживайте антивирусы и другие сигнатурные инструменты в самом современном состоянии, чтобы предотвратить предотвращаемое. И развёртывайте продвинутые превентивные решения как часть многоуровневого подхода к безопасности, чтобы парировать нацеленные на вашу организацию неизвестные атаки, в том числе ransomware.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT