Каждый год мы фиксируем рост количества киберинцидентов: хакеры придумывают новые инструменты или модифицируют уже имеющиеся. Каким был 2019? На первый взгляд, без неожиданностей: объем инцидентов вырос на целых 30% и составил более 1,1 млн случаев. Но если копнуть глубже, то становится очевидно: в погоне за «легкими» деньгами злоумышленники сместили фокус на новые мишени. Вообще внешних атак стало больше – их доля выросла до 58% (годом ранее была 54%). При этом доля сложных атак увеличилась в разы: 55% событий были выявлены с помощью сложных интеллектуальных средств защиты (в 2018 таких инцидентов было 28%). Базовые средства защиты в подобных ситуациях бессильны. Ниже мы расскажем, с какими опасностями компании столкнулись в минувшем году и чего ждать в ближайшем будущем.
Немного о методологии: как и что мы считали
Вся представленная здесь статистика относится к нашим заказчикам, а это более 100 организаций из разных отраслей: госсектор, финансы, нефтегаз, энергетика, телеком, ритейл. Все компании представляют сегмент large enterprise и enterprise cо средним количеством сотрудников от 1000 человек и оказывают услуги в разных регионах страны.
Наша первоочередная задача – обеспечить защиту, а значит, выявить действия злоумышленника еще на подступах, до проникновения в инфраструктуру. Это, разумеется, ограничивает нас в определении целей злоумышленника: прямая нажива, сбор чувствительной информации, закрепление в инфраструктуре для дальнейшей продажи ресурсов, хактивизм… Дабы сделать взвешенный анализ происходящего, мы использовали комбинированную методику, которая опирается на особенности атаки.
При выявлении инцидентов на ранней стадии (до фактического закрепления злоумышленников и развития атаки в инфраструктуре) мы учитывали техники и методики атаки, функционал вредоносного ПО, атрибуцию и данные о хакерской группировке и т.д.
Иногда у новых подключаемых заказчиков мы выявляли атаки в фазе распространения, в этом случае на скомпрометированных хостах мы учитывали: их территориальную распределенность, функционал, возможности реализации одной из вышеприведенных целей, динамику и вектор движения киберпреступника.
Если в рамках расследования инцидентов у клиентов, не использующих сервисы Solar JSOC, выявлялись атаки на финальной стадии, то ключевым критерием, определяющим вектор атаки, становились данные о фактическом ущербе.
Из статистики мы исключили так называемые простые атаки, не ведущие к реальным инцидентам ИБ: деятельность бот-сетей, сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей.
С чем же конкретно мы столкнулись в 2019 году?
Контроль дороже денег
Прямая кража средств уже не в тренде. За 2019 год количество таких атак сократилось на 15%, хотя до этого из года в год показатель стабильно рос. Не в последнюю очередь это говорит о повышении уровня защищенности в кредитно-финансовой сфере. Быстрая и прямая монетизация атаки становится все сложнее, и киберпреступники переключаются на более доступные мишени.
Количество атак, направленных на получение контроля над инфраструктурой, выросло на 40%. Более 16% атак, направленных на объекты КИИ, при этом имели своей целью сегмент АСУ ТП или закрытые сегменты. Это связано с их низким уровнем кибергигиены и частым смешением корпоративных и технологических сетей. В процессе мониторинга в 95% организаций мы обнаруживали не менее двух точек смешения открытых и закрытых сегментов.
Тенденция тревожная, ведь, проникая в периметр, злоумышленники могут детально исследовать внутренние процессы компании. Вариантов, как в дальнейшем они используют эти точки присутствия, множество: от промышленного шпионажа до продажи доступов в даркнете или прямого шантажа.
Внешние инциденты
Типы внешних атак
ВПО на новый лад
В выборе инструментов для взлома инфраструктуры хакеры консервативны и отдают предпочтение вредоносному ПО, которое доставляется на машину пользователя через зараженные вложения или фишинговые ссылки в электронных письмах. В 2019 году этот метод использовался более чем в 70% случаев.
В целом атаки с помощью ВПО стабильно растут – на 11% за минувший год. При этом и сам вредоносный софт становится более сложным: каждое пятое ВПО, доставляемое на машину пользователя с фишинговыми рассылками, имеет встроенный инструментарий обхода песочницы.
Тренды развития ВПО
- Лидером по количеству фишинговых рассылок (уже второй год подряд) оказался банковский троян RTM. Чтобы себя не обнаружить зловред несколько раз менял «оболочку» (например, на самораспаковывающийся архив, различные вариации оригинальной оболочки) и получил возможность общения с C&C-серверами, расположенными в сети TOR. Кроме того, операторы, распространяющие RTM, стали чаще выдавать себя за реально существующие организации, чтобы вызвать у своих жертв больше доверия.
- В первом квартале 2019 года мы фиксировали массовые рассылки шифровальщика Troldesh, которые производились с различных роутеров, доступных из Интернете по административным портам и имеющих слабые аутентификационные данные. Отследить реальный источник рассылок было невозможно, так как чаще всего обычные роутеры не ведут запись активности в лог-файлы.
- Также активными участниками в рассылках 2019 года были хорошо известные сообществу вредоносы класса stealer – Pony, Loki и Hawkeye. Все они в течение года были накрыты одним и тем же пакером, называемым VBInJect (или VBCrypt). Суть технологии защиты вредоносного кода, которую предоставляет VBInJect, состоит в долгой итерационной работе с постоянными проверками виртуального окружения и работы в песочнице. В течение года мы много раз видели, как благодаря этому функционалу вредоносы обходят песочницы.
- В фишинговых рассылках офисных документов чаще всего использовались технологии запуска кода в виде макросов. На втором месте по популярности обосновалась технология DDE (Microsoft Dynamic Data Exchange), которую Microsoft официально отключал в новых версиях своих офисных продуктов, но это никак не повлияло на ее использование злоумышленниками.
- Среди уязвимостей Microsoft Office уже на протяжении двух лет подряд наиболее популярными остаются уязвимости в математическом объекте формул CVE-2017-11882 и CVE-2018-0802. Причина в том, что их эксплоиты прочно осели в открытом доступе, и для их использования не требуются глубокие технические знания.
- Были здесь и новинки. Так для доставки вредоносного кода внешние злоумышленники стали чаще использовать стеганографию – метод, который обычно используют внутренние нарушители для скрытой передачи конфиденциальной информации.
- В течение года мы также фиксировали ряд атак с использованием вредоноса Emotet (хотя и принято считать, что он не распространяется в информационном пространстве России). Злоумышленники взламывали общедоступные ресурсы с уязвимой версией WordPress и располагали на них вредоносные файлы, ссылки на которые рассылались по почте. При этом все вредоносные ссылки имели некоторое сходство: они оканчивались тремя случайными строками, разделенными через дефис (например: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ и http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
- В 2019 году были выявлены две новые критические уязвимости Windows – BlueKeep и DejaBlue, обе из которых использовали встроенный в систему протокол удаленного доступа RDP. Однако попытки их эксплуатации in the wild встречались нам крайне редко. При этом продолжаются атаки с использованием все более устаревающей уязвимости Eternal Blue. Разница с 2018 годом состоит лишь в том, что теперь злоумышленники стремятся заразить машину жертвы не шифровальщиком, а майнинговым ПО.
Уязвимый веб
Стабильный рост показывают также атаки на веб-приложения – их доля за год выросла на 13%. Причина простая – все больше компаний и госорганизаций заводят собственные интернет-порталы, но не уделяют достаточного внимания защищенности подобных ресурсов. В итоге каждый третий интернет-сайт имеет критическую уязвимость, позволяющую получить привилегированный доступ к серверу (web-shell).
Пароль админа: когда простота хуже воровства
Относительно простые аутентификационные данные администраторских панелей веб-ресурсов и терминальных серверов RDP также играют на руку злоумышленникам. По нашим данным, если использовать слабый пароль администратора и открыть к этим сервисам доступ из интернета, пройдет менее 5 часов до того, как они будут заражены вредоносным ПО. Чаще всего это будет майнер, шифровальщик или относительно простой вирус, например, Monero Miner, Miner Xmig, Watchbog, Dbg Bot или Scarab.
Горе от ума
DDoS-атаки демонстрируют существенный технологический прогресс. В 2019 году для проведения DDoS злоумышленники на 40% чаще использовали IoT-ботнеты. Как известно, IoT-устройства слабо защищены и легко взламываются, делая DDoS-атаки дешевле и доступнее. С учетом постоянного роста числа таких гаджетов, возможно, в ближайшее время мы столкнемся с новым всплеском этой угрозы.
Опасности внутри
Несмотря на рост внешних атак, внутренние инциденты остаются серьезной угрозой. Продолжается рост числа утечек конфиденциальной информации: они составляют уже более половины внутренних инцидентов, и в ближайшие годы этот показатель, скорее всего, будет расти. Но в то же время существенно снижается количество инцидентов, связанных с нарушением доступа в Интернет. Это косвенно показывает развитие технологий: многие заказчики провели процедуру миграции со старых межсетевых экранов и прокси-серверов на более совершенные системы.
Типы внутренних атак
Подсластим пилюлю
Есть и позитивные изменения: компании стали прилагать больше усилий к защите периметра. Если в 2018 году более 260 тыс. российских серверов были подвержены уязвимости EternalBlue, то в 2019 году их количество сократилось до 49,7 тыс. При этом динамика закрытия уязвимостей в России существенно выше средней по миру – российские серверы составляют менее 5% от уязвимых в мире. Хотя примерно 40% из тех серверов, которые все еще остаются уязвимыми, принадлежат крупным коммерческим или государственным компаниям.