| +11 голос |
|
Группа по борьбе с киберугрозами Cisco Talos Incident Response (CTIR) рассказала о главных событиях на рынке кибербезопасности в 2021 г. На фоне пандемии, которая повлекла за собой ряд специфичных проблем ИБ, специалистам по ИБ пришлось иметь дело с растущим кругом злоумышленников, промышляющих программами-вымогателями, занимаясь при этом крупными инцидентами безопасности, которые затронули организации по всему миру.
По данным Cisco Talos, в прошлом году:
- самой атакуемой отраслью на протяжении большей части 2021 г. оказалось здравоохранение;
- главной угрозой года стали программы-вымогатели (шифровальщики);
- чаще всего атаки начинались с компрометации приложений, имеющих выход в Интернет, и фишинга;
- CTIR имела дело с четырьмя серьезными инцидентами ИБ:
- атака на цепочку поставок SolarWinds;
- массовое использование уязвимостей Microsoft Exchange Server;
- атака хакерской группы REvil на поставщика ИТ-решений Kaseya;
- обнаружение уязвимости Log4J;
- из четырех перечисленных пока наиболее значительным для клиентов CTIR стали атаки, использовавшие уязвимости Microsoft Exchange, поскольку они не прекращаются до сих пор.
Основной целью злоумышленников в течение практически всего 2021 г. было здравоохранение, лишь осенью на первое место вышли атаки против локальных администраций. Преимущественно это обусловлено недостаточными средствами, которые медучреждения выделяют на кибербезопасность, а также чрезвычайно высокими требованиями к отсутствию простоев (которые еще только ужесточились в связи с продолжающейся пандемией).
Среди всех угроз в 2021 г. доминировали программы-вымогатели. В их использовании наблюдались два тренда: увеличение числа злоумышленников и рост применения коммерчески доступных продуктов и программ с открытым кодом.
В течение 2020 и в начале 2021 г. чаще всего встречался шифровальщик Ryuk. Затем его активность начала постепенно снижаться, и во второй половине 2021 г. он практически исчез. Ryuk был не единственным вымогателем, чья активность пошла на убыль в 2021 г. Недавно также прекратили действовать или провели ребрендинг такие семейства, как Darkside, BlackMatter, REvil и Maze. Возможно, что именно из-за спада активности вымогателей-гигантов зимой произошел всплеск различных атак, причем ни одно семейство не повторялось дважды.
Одновременно с расширением круга злоумышленников, наблюдаемом в начале осени, возросло применение коммерческих продуктов, программ с открытым кодом и легитимных программ и компонентов операционной системы (living-off-the-land binaries, LOLBINS). Наиболее часто встречающиеся: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.
В 2021, как и годом ранее, в большинстве организаций регистрация событий велась так, что во многих случаях установить с точностью начальный вектор атаки не представлялось возможным. Когда же начальный вектор удавалось определить с достаточной уверенностью, на первое место выходили фишинг и приложения, имеющие выход в Интернет.
Рост числа успешных атак связан, в том числе, с раскрытием ряда крупных уязвимостей ПО, используемого многими организациями. В частности, это несколько брешей Microsoft Exchange, которые привели к необходимости проводить мероприятия по реагированию на инциденты во многих организациях.
В то же время, рост числа фишинговых атак может быть связан с тем, что они являются традиционным способом для начального заражения при использовании шифровальщиков, на которые приходилась большая часть угроз в течение 2021 г. Кроме того, осенью прошлого года выросло число компрометаций корпоративной электронной почты, что увеличило долю этого вектора в общей картине.
На фоне стресса, вызванного работой в условиях пандемии, и постоянно нарастающих и усугубляющихся угроз со стороны шифровальщиков группе CTIR пришлось заниматься четырьмя серьезными инцидентами, которые затронули организации во всем мире:
- Декабрь 2020 г. Происходит изощренная атака на цепочку поставок, в ходе которой злоумышленники получили доступ к сетям жертв посредством внедрения трояна в обновления ПО SolarWinds Orion. Целью атаки были многочисленные крупные предприятия и госструктуры США;
- Март 2021 г. CTIR занимается множественными атаками, связанными с рядом неустраненных уязвимостей Microsoft Exchange Server;
- Июль 2021 г. Группа хакеров-вымогателей REvil атакует компанию Kaseya, которая разрабатывает ИТ-решения для поставщиков управляемых услуг (managed service providers, MSP). Так как целью REvil были провайдеры, которые управляют ИТ-услугами заказчиков, атака поразила как минимум 1500 организаций;
- Декабрь 2021 г. Злоумышленники начинают сканировать и использовать критичную уязвимость удаленного исполнения кода в популярной библиотеке Apache Foundation Log4j.
В 2021 г., в разгар атак программ-вымогателей, CTIR выступила с заявлением об отсутствии многофакторной аутентификации (МФА) как одном из главных препятствий на пути к обеспечению ИБ предприятия. CTIR часто сталкивается с инцидентами, которые могли бы быть предотвращены при включении МФА на критичных сервисах. Поэтому эксперты ИБ призывают организации внедрять МФА везде, где это возможно.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
