Новые и старые угрозы – взгляд вглубь

22 июнь, 2018 - 15:37Мирослав Мищенко

Хорошая стратегия кибербезопасности в чём-то противоположна фокусам: она должна делать кибер-угрозы видимыми и не допускать исчезновения критических сетевых ресурсов.

Знание новейших угроз дает возможность победить их. Вот некоторые из основных выводов отчёта Threat Landscape Report за первый квартал 2018 года, подготовленного Fortinet.

Криптовзлом (криптомайнинг)

При этом типе атаки вредоносное ПО взламывает компьютер жертвы для майнинга криптовалюты. В последнем отчёте Fortinet рассмотрен взрыв таких атак в ландшафте угроз. С тех пор ситуация только ухудшилась. Распространение ПО для неавторизованного криптомайнинга от квартала к кварталу выросло более чем вдвое, с 13 до 28%. Кроме того, это ПО продолжает развиваться, что затрудняет его обнаружение и обезвреживание. 

Особое распространение криптовзлом в прошлом квартале получил на Ближнем Востоке, в Латинской Америке и в Африке. Для такой относительно новой угрозы криптомайнинговые программы демонстрируют невероятное разнообразие. Киберпреступники создают невидимое бесфайловое JavaScript-ПО для инъекции зараженного кода в браузеры с меньшей вероятностью обнаружения. Майнеры также нацеливаются на множество операционных систем и различные криптовалюты, включая Bitcoin и Monero. Чтобы улучшить показатели эффективности, они также заимствуют и оптимизируют методы доставки и распространения, оказавшиеся успешными для других угроз.

Если вкратце, то преступники гонятся за деньгами и быстро задействуют новые возможности для достижения этой цели. Они поняли, что взлом систем для майнинга криптовалют является прибыльным делом, поэтому мы можем ожидать дальнейших инвестиций и инноваций в этой бизнес-модели.

Ботнеты

Если эксплойты и вредоносное ПО, как правило, выявляются в начале атаки, ботнеты демонстрируют себя пост-фактум. Инфицированные системы часто общаются с удалёнными вредоносными хостами, и обнаружение такого трафика в корпоративной среде указывает на то, что что-то не в порядке. Это делает такие наборы данных ценными для «обучения на наших ошибках».

Fortinet обнаружила, что хотя 58% инфекций ботнетов «живут» всего один день, примерно 5% из них удаётся подержаться больше недели. Измерение длительности жизни инфекций ботнетов, базирующееся на количестве последовательных дней, в которые обнаружены коммуникации, показывает, что кибер-гигиена не должна ограничиваться установкой патчей. Она также предполагает регулярную чистку. Сорок два процента организаций не озадачивались уборкой инфекции в течение одного-девяти или более дней, а у 6% это занимало больше недели.

Мы все уже знаем, что заражения не избежать, рано или поздно это произойдёт даже в самых защищённых сетях. Признаком успешных программ кибербезопасности является быстрое обнаружение и устранение этих инфекций для ликвидации угроз со стороны окружающей среды и для предотвращения повторного заражения.

Ушедший, но не забытый

Andromeda, также известный как Win32/Gamarue, это модульный HTTP-ботнет, заражающий компьютеры с 2011 года. Несмотря на крупную операцию правоохранительных органов по устранению этого ботнета, предпринятую в четвёртом квартале прошлого года, Andromeda продолжает демонстрировать свое присутствие на наших радарах. Он остаётся в первой тройке ботнетов первого квартала 2018 г. как по объёму так и по масштабу распространения. На первый взгляд кажется, что операция по искоренению Andromeda, оказалась не слишком успешной. Однако дальнейший анализ показывает, что всё дело тут в слабой гигиене безопасности.

Как оказалось, организации, все еще заражённые ботнетом Andromeda (который больше не циркулирует в Сети), имели в своей среде втрое больше других активных ботнетов. Таким образом, вероятно, зараженность Andromeda может служит индикатором плохой кибер-гигиены и/или медленного реагирования на происшествия.

Разрушительные и дизайнерские атаки

Воздействие деструктивных вредоносных программ остается высоким, особенно когда преступники объединяют их с ориентированными на конкретную цель «дизайнерскими» атаками. В этих случаях атаке предшествует значительная разведка в организации, что помогает повысить вероятность успеха. Проникнув в сеть, злоумышленники продвигаются в ней в поперечном направлении, прежде чем приступить к самой разрушительной части запланированной атаки. Olympic Destroyer и более свежее ПО-ransomware SamSam являются примерами того, как киберпреступники, сочетают дизайнерскую атаку с разрушительной нагрузкой для получения максимального эффекта.

Такая комбинация дизайнерских спецификаций и деструктивных тенденций, иллюстрируемая инцидентами с вредоносным ПО, не может не вызывать обеспокоенности. Как ни странно, невидимость скрытых в удалённых центрах управления задач вредоносных программ заставила многие фирмы за последнее десятилетие ослабить свою защиту, сведя её к обнаружению и ответу. С червями и разрушительными вредоносными программами, снова вышедшими на передний план, пришло время восстановить полноценную защиту.

Держать глаза открытыми

От криптовзлома до бот-сетей и вредоносного ПО – киберпреступники продолжают совершенствовать методы атаки, чтобы повысить их эффективность. Но предупрежденный вооружен. Фокусники учат нас не верить всему, что мы видим, но данные из этого отчета свидетельствуют, что чем больше мы видим, тем легче сможем победить. Они напоминают нам, что мы не должны успокаивать себя тем, что было раньше, или забывать об основах, таких как хорошая кибер-гигиена. В этой динамично меняющейся обстановке команды ИТ-безопасности имеют гораздо больше шансов победить новейшие схемы киберпреступников, когда они знают, что искать.