Positive Technologies

По данным Positive Technologies, количество атак во II квартале 2021 года увеличилось лишь на 0,3% в сравнении с I кварталом. Эксперты считают, что подобного замедления следовало ожидать, так как компании успели адаптироваться к работе в условиях пандемии, в том числе приняли меры по защите сетевого периметра и систем удаленного доступа.

Однако во II квартале были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Наибольшее количество инцидентов было выявлено специалистами в апреле. Тем не менее, нашумевшие атаки на крупнейшую трубопроводную систему США Colonial Pipeline и полицию округа Колумбия, которые привлекли внимание правоохранительных органов, сказались на активности операторов и распространителей шифровальщиков, и уже в июне число атак с использованием вымогательского ПО снизилось вдвое.

В исследовании Positive Technologies отмечается, что на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени можно ожидать исчезновения так называемых партнеров как отдельной роли, а их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую.

Среди других тенденций, которые отмечают эксперты компании, — укрепившийся тренд на создание вредоносов, нацеленных на Unix-системы. Многие привыкли к мысли, что вредоносное ПО, — проблема систем на базе Windows. Однако сейчас наблюдается укрепление тренда на создание инструментов для атак на Unix-системы, средства виртуализации и оркестраторы. Все больше компаний, в том числе крупных, используют ПО на базе Unix, и логично, что злоумышленники стали обращать внимание также на эти системы.

Одной из самых заметных тенденций стало изменение ландшафта киберугроз в сфере торговли. Эксперты обратили внимание на значительное снижение числа атак с использованием так называемых веб-скиммеров. При этом интерес к этой отрасли у злоумышленников, распространяющих шифровальщики, только растет. Доля атак с использованием программ-вымогателей составила в торговле 95%. Эксперты связывают эти изменения с тем, что раньше основной целью злоумышленников, атакующих торговые компании, была кража данных — платежных реквизитов, персональных и учетных данных клиентов. Сейчас же преступники все чаще преследуют прямую финансовую выгоду, рассчитывая получить крупный выкуп.

По данным анализа, количество атак увеличилось на 17% в сравнении с I кварталом 2020 года, а относительно IV квартала 2020 года прирост составил 1,2%. При этом 77% атак были целенаправленными, а инциденты с частными лицами составили лишь 12% от числа всех инцидентов. Чаще всего злоумышленники атаковали госучреждения, промышленность и организации в сфере науки и образования. Как отмечают в Positive Technologies, главными целями злоумышленников являются персональные и учетные данные, а при атаках на организации к ним добавляется еще и коммерческая тайна.

В исследовании говорится, что программы-вымогатели остаются самым распространенным вредоносным ПО. Их доля среди прочих инструментов, применяемых в атаках на организации, увеличилась на семь процентных пунктов в сравнении с IV кварталом 2020 года и составляет 63%. Эксперты также отметили появление новых шифровальщиков, например Cring, Humble и Vovalex. При этом сообщается об активности шифровальщика WannaCry, громко заявившего о себе в 2017 году.

Разработчики вредоносного ПО продолжают искать новые способы обхода средств защиты. Для этого они используют, к примеру, редкие языки программирования. Некоторые злоумышленники дополняют свои инструменты функциями, стирающими следы вредоносной активности.

По данным исследования, суммы выкупа, требуемые операторами программ-вымогателей, продолжают расти, а из-за того, что некоторые компании отказываются от уплаты выкупа, злоумышленники изобретают новые тактики вымогательства: например, если компания не собирается платить, преступники угрожают сообщить о факте атаки и об украденных данных ее клиентам: по замыслу преступников, клиенты смогут повлиять на компанию и заставить ее заплатить — чтобы не допустить разглашения своих данных.

Все больше злоумышленников разрабатывают свое ПО для проведения атак на среды виртуализации, а некоторые пытаются активно эксплуатировать уже найденные уязвимости в ПО для развертывания виртуальной инфраструктуры. Прежде всего, эксперты связывают это с глобальным процессом переноса ИТ-инфраструктуры компаний в виртуальную среду.

Как показало исследование, общее количество киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Больше всего злоумышленников интересовали государственные учреждения, промышленные компании и медицинские организации.

По сравнению с 2019 годом в 2020 году число атак на промышленные компании выросло почти вдвое: прирост составил 91%. В основном эту отрасль атаковали операторы программ-вымогателей. На промышленность нацелены и многие APT-группировки.

По данным Positive Technologies, использование вредоносного ПО по-прежнему в тренде. В 2020 году количество подобных атак увеличилось на 54% по сравнению с 2019 годом. Разработчики ВПО уделяли много внимания методам сокрытия деструктивного воздействия и совершенствовали способы доставки, переключились на использование уязвимостей на сетевом периметре. Организации становились в основном жертвами программ-вымогателей, а частных лиц чаще атаковали с помощью шпионского ПО и банковских троянов.

Доля атак шифровальщиков среди всех атак с использованием ВПО, нацеленных на организации, составляет 45%. При этом на первом месте по числу атак с использованием шифровальщиков оказались медицинские учреждения (17%). Второе и третье места достались госучреждениям и промышленным предприятиям.

Аналитики отмечают усиление тренда на кражу данных перед шифрованием с последующим требованием двойного выкупа — за дешифровщик и неразглашение украденной информации. В течение всего 2020 года появлялись новые сайты операторов программ-вымогателей для размещения похищенной информации, за которую ее владельцы отказывались платить. В случае отказа операторы шифровальщиков не только шантажировали жертв разглашением украденной информации, но и устраивали DDoS-атаки. Кроме того, злоумышленники объединялись в новые группировки и спекулировали на своей причастности к более «могущественным» операторам шифровальщиков.

В числе ближайших целей, стоящих перед вендорами песочниц, в Positive Technologies отмечают кастомизацию виртуальных сред — приближение их состава к реальным рабочим станциям. Раньше на виртуальных машинах использовали программы по умолчанию. Заменив их на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры. Такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.

Эксперты подчеркивают, что большинство кибератак являются целевыми. Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля. Очевидно, что в подобных условиях не может быть универсальных песочниц, и бизнесу необходимо отталкиваться от собственной уникальной карты рисков.

Еще один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. Текущий подход к анализу происходящего в электронной почте, как правило, подразумевает проверку файлов и ссылок, а также поиск в теле сообщений паролей для работы с архивами. Однако в этом случае может не учитываться часть информации, потенциально выдающей угрозу, — заголовки писем.

При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (около 50% атак на организации). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.

Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков – например, выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.

Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. Время проверки одного файла песочницами разных разработчиков сейчас в среднем составляет 1–2 минуты. При этом скорость проверки является одним из ключевых параметров, на которые обращают внимание пользователи.

Как отмечают в Positive Technologies, возник некий негласный потолок возможной производительности песочниц — и с точки зрения времени, и с точки зрения стоимости. Вероятно, этот параметр все еще можно развивать в сторону ускорения и удешевления без потери качества детектирования. Один из возможных путей заключается в массовой единовременной проверке больших наборов файлов по косвенным признакам: попыткам закрепиться в системе, подключиться к интернету и т. д. Если такие признаки обнаружатся, песочница может проводить дополнительную проверку, и, напротив, пропускать файлы, не совершающие подозрительных действий. Как выделить оптимальные косвенные признаки, которые позволят не пропустить угрозу, — вопрос, который только предстоит решить.

В течение всего 2020 года эксперты наблюдали ежеквартальное увеличение числа киберинцидентов и IV квартал не стал исключением. Количество атак по сравнению с III кварталом выросло на 3,1%, а в сравнении с аналогичным периодом 2019 года рост составил 42,2%. Ранее отмеченный тренд на переход от социальной инженерии к методам хакинга в атаках на организации укрепился и в IV квартале. В инцидентах с частными лицами, напротив, эксперты зафиксировали всплеск применения техник социальной инженерии, доля этого метода выросла с 67% в III квартале до 86%.

Исследование показывает, что количество атак на отрасль торговли увеличилось на 56% в сравнении с III кварталом и достигло абсолютного максимума за последние два года. Около трети атак в этой сфере были проведены операторами программ-вымогателей, как, например, в случае с атакой на южнокорейского ретейлера E-Land. В каждой пятой атаке на торговые предприятия использовались веб-скиммеры, которые злоумышленники размещали на взломанных сайтах магазинов.

Чаще всего в ходе атак на торговлю злоумышленники похищают данные платежных карт, к примеру в IV квартале их доля среди всей украденной информации составила 33%. На втором месте по популярности персональные данные клиентов (27%) и на третьем — учетные данные (20%).

Под шквал атак также попали фармацевтические компании, участвующие в цепочке производства и поставки вакцины от COVID-19, например Fareva, Dr. Reddy's и Johnson & Johnson. Злоумышленники не только пытаются украсть наработки и сорвать производство, но и продолжают эксплуатировать интерес обычных людей к теме вакцины. По данным исследования, в IV квартале около 40% всех фишинговых рассылок на тему пандемии были посвящены вакцине.

В последнем квартале 2020 года аналитики Positive Technologies вновь отметили рост числа атак с использованием шифровальщиков, их доля составила 56% среди всех атак с использованием вредоносного ПО. Больше всего атак замечено в отношении медицинских (20%) и государственных учреждений (19%), а также промышленных компаний (11%). Среди наиболее активных программ-шифровальщиков — Ryuk, REvil, Clop, Egregor и DoppelPaymer.

По результатам пилотных проектов в 90% компаний была выявлена подозрительная сетевая активность – например, сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов. Переход компаний на удаленную работу повлиял и на сетевую активность: выросла доля подключений во внешнюю сеть по протоколу RDP. Такие подключения должны тщательно контролироваться, ведь количество атак через протоколы удаленного доступа в 2020 году увеличилось в три раза.

Нарушения регламентов ИБ встретились в каждой организации. Одним из часто выявляемых нарушений стало использование незащищенных протоколов передачи данных (64%). По мнению экспертов, это говорит о том, что в инфраструктуре важные данные передаются в открытом виде, а значит кто угодно в корпоративной сети, в том числе потенциальный злоумышленник, может перехватывать трафик и искать в нем конфиденциальную информацию, в том числе логины и пароли.

В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году эксперты столкнулись с активностью 36 семейств вредоносного ПО. Эксперты называют среди них шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex. В 68% анализируемых компаний была выявлена активность вредоносного ПО. При этом вредоносы были обнаружены во всех исследуемых государственных и промышленных организациях. В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО.

Проект по внедрению SIEM-системы в Трубной Металлургической Компании был продиктован необходимостью обеспечения автоматизированного сбора и централизованного хранения событий безопасности из разных подсистем. Для решения этих задач ТМК выбрала MaxPatrol SIEM – разработку Positive Technologies, так как его можно подключать к любым внешним системам посредством разработки интеграционных модулей (коннекторов). В пользу продукта в том числе сыграли ежемесячная поставка пакетов экспертизы с актуальными способами обнаружения угроз, прозрачный план развития, производительность системы (до 40 тыс. событий в секунду) и наличие сертификата ФСТЭК России.

Для подключения MaxPatrol SIEM к информационным системам ТМК, взаимодействие с которыми не поддерживалось «из коробки», инженеры «Инфосистемы Джет» разработали четыре интеграционных модуля. Один из них проектная команда создала для сбора и обработки событий из облачных сервисов Microsoft 365 и Azure. Другой модуль предназначен для сбора информации, необходимой при расследованиях ИБ-инцидентов, из базы данных управления конфигурациями. Еще два модуля специалисты разработали для расширенной интеграции SIEM-системы со службой каталогов Active Directory (AD) и взаимодействия с созданной в ТМК платформой киберразведки.

Как отметил Дмитрий Якоб, директор по информационным технологиям ТМК, проект позволил в сжатые сроки интегрировать SIEM-систему в инфраструктуру информационной безопасности компании с учетом ее особенностей и реализованных процессов. Разработанные интеграционные модули позволили полноценно считать систему центральным звеном ландшафта информационной безопасности компании. На предприятии уже ощутили пользу от SIEM во время роста количества атак в период карантинных мер. Благодаря проактивным действиям с этим вызовом удалось справиться.

По данным отчета, в 2019 году во всех протестированных компаниях удалось получить полный контроль над инфраструктурой от лица внутреннего нарушителя. Как правило, на это уходило около трех дней, а в одной сети потребовалось всего 10 минут. В 61% компаний был выявлен хотя бы один простой способ получить контроль над инфраструктурой, который под силу даже низкоквалифицированному хакеру.

Как отмечают эксперты, легитимные действия, которые позволяют развить вектор атаки, составили 47% от всех действий пентестеров. К ним относятся, например, создание новых привилегированных пользователей на узлах сети, создание дампа памяти процесса lsass.exe, выгрузка ветвей реестра или отправка запросов к контроллеру домена. Все эти действия позволяют получить учетные данные пользователей корпоративных сетей или информацию, необходимую для развития атаки. Опасность состоит в том, что такие действия сложно отличить от обычной деятельности пользователей или администраторов, а значит, атака остается незамеченной.

Как отмечают аналитики, в ходе атак во внутренних сетях для сбора учетных данных и перемещения между компьютерами, как правило, используются архитектурные особенности ОС и механизмов аутентификации Kerberos и NTLM. Например, учетные данные злоумышленник может извлечь из памяти ОС с помощью специальных утилит или встроенных средств ОС. Рекомендуется использовать актуальные версии Windows, а привилегированных пользователей домена включать в группу Protected Users. В современных версиях Windows 10 и Windows Server 2016 реализована технология Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Для дополнительной защиты привилегированных учетных записей, в частности администраторов домена, стоит использовать двухфакторную аутентификацию.

Для каждой компании перечень рисков существенно отличается, хотя есть и общие пункты, например компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов экспертам Positive Technologies удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты.

Тестирование также показало, что злоумышленник может эксплуатировать известные уязвимости, которые содержатся в устаревших версиях ПО и позволяют удаленно выполнить произвольный код на рабочей станции, повысить привилегии или узнать важную информацию. Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров, в 30% компаний до сих пор можно обнаружить уязвимости Windows, описанные в бюллетене безопасности 2017 года, а в некоторых – даже 2008 года.

В ходе внешних пентестов специалистам Positive Technologies удалось получить доступ к локальной сети 93% организаций. Максимальное число векторов проникновения, выявленное в одном проекте, составило 13.

Как выяснили эксперты, проникновение в локальную сеть занимает от 30 минут до 10 дней. В большинстве случаев сложность атаки оценивалась как низкая, то есть ее мог бы осуществить и низкоквалифицированный хакер, который обладает лишь базовыми навыками. По крайней мере один простой способ проникновения существовал в 71% компаний.

Наибольшее количество всех атак было направлено на подбор учетных данных и на эксплуатацию уязвимостей веб-приложений. В 68% компаний успешные атаки на веб-приложения были проведены с помощью подбора учетных данных.

Как подчеркивают аналитики, самым уязвимым компонентом на сетевом периметре являются веб-приложения. По данным анализа, в 77% случаев векторы проникновения были связаны с недостатками защиты веб-приложений; хотя бы один такой вектор был выявлен в 86% компаний.

Кроме того, в 86% компаний были выявлены недостатки парольной политики критического и высокого уровней риска. Простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре. Одним из самых популярных оказался пароль, в котором использовались комбинации месяца и года в латинской раскладке (например, Jrnz,hm2019 или Fduecn2019). Такие пароли встречались в каждой третьей компании, а в одной организации они были подобраны для более чем 600 пользователей. Рекомендуется разработать строгие правила для корпоративной парольной политики и контролировать их выполнение.

В ходе тестирования широко эксплуатировались известные уязвимости ПО, которые позволили проникнуть в локальную сеть 39% компаний, например уязвимости в устаревших версиях Laravel и Oracle Web Logic Server. Кроме того, были найдены шесть уязвимостей нулевого дня, которые позволяют удаленно выполнить произвольный код.

Более половины опрошенных компаний отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как он был реализован только для некоторых сотрудников (41%). При быстром переходе на удаленный режим возникает ряд рисков безопасности, связанных с уязвимостями конечных точек. Как отмечают эксперты Positive Technologies, желательно, чтобы дистанционные сотрудники применяли доменные устройства, настроенные по всем стандартам безопасности. Однако такой политики придерживаются только 20% опрошенных. В каждом четвертом случае (24%) для работы используются собственные компьютеры или ноутбуки, а в 56%? в служебных целях используются и домашние ПК, и рабочие.

Как констатируют аналитики, опрос показал, что большинство респондентов (57%) рассчитывают «зажмурившись, проскочить пандемию» и не планируют менять способы организации удаленной работы в ближайшие месяцы. И только каждый десятый отметил наличие планов по введению двухфакторной аутентификации. Вероятно, подавляющее большинство все устраивает, либо они надеются, что удаленная работа скоро закончится, и поэтому не готовы вкладываться в организацию безопасного удаленного доступа.

Для получения удаленного доступа наиболее часто используют такие приложения или компоненты, как OpenVPN (30%), Cisco VPN (25%), Remote Desktop Gateway (19%), TeamViewer (12%). Однако в более крупных компаниях с числом сотрудников свыше 250 человек первое место занимает Cisco VPN (28%), и в тройку лидеров врывается Check Point (9%). В государственных организациях в первую тройку входит VPN «Кода Безопасности» (15%). В Positive Technologies предупреждают о наличии критически опасных уязвимостей в большинстве подобных приложений и рекомендуют использовать только их новейшие версии.

43% респондентов отметили, что в их компаниях на периметр выведены какие-либо сервисы. В 34% случаев выведена электронная почта, каждый пятый респондент отметил корпоративные порталы, а 16% респондентов упомянули внутренние веб-приложения.