В состоянии потока: обзор киберугроз 2020 года

Даже с появлением более сложных атак фишинг и социальная инженерия всё ещё остаются самыми распространёнными векторами заражения.


21:00 12.04.2021  (обновлено: 17:02 18.04.2021)   |   4051 |  Михаил Кондрашин |

Рубрика Партнерский материал



Самые важные инциденты, проблемы и тенденции 2020 года, которые повлияли на ландшафт кибербезопасности.

Прошедший год стал серьезным испытанием для многих организаций. Помимо разрешения сложной финансовой ситуации, вызванной пандемическими ограничениями, компаниям пришлось спешно создавать условия для дистанционной работы сотрудников, меняя правила игры на ходу. Это оказалось сложной задачей не только с технологической, но и с человеческой точки зрения. И усугубились эти сложности появлением новых проблем безопасности и угроз. Наиболее полно киберитоги 2020 года представлены в докладе Trend Micro "A Constant State of Flux: Trend Micro 2020 Annual Cybersecurity Report", ну а мы ограничимся наиболее значимыми событиями и тенденциями.

Киберпреступники воспользовались изменениями инфраструктурного ландшафта офисных сетей и глобальными инфоповодами для проведения новых более изощренных атак. Самыми заметными угрозами прошедшего года стало вымогательское ПО, хищение учётных данных с помощью фишинга, беспрецедентные атаки на цепочки поставок, эксплуатация уязвимостей устройств семейства интернета вещей и небезопасных конфигураций облачной инфраструктуры.

Вымогатели поднимают ставки

Современные вымогательские атаки продолжают эволюционировать и становиться всё более профессиональными и опасными. Операторы вымогательского ПО (ransomeware) уже не используют тактику «ковровой бомбардировки», рассылая письма с вредоносной начинкой всем подряд. Вместо этого они сосредоточиваются на богатых компаниях и органах власти, для которых остановка деятельности является крайне критичной.

В состоянии потока: обзор киберугроз 2020 года

Количество атак вымогателей на различные отрасли. Самыми популярными среди вымогателей отраслями в 2020 году были органы власти, банки, промышленность и здравоохранение. Источник: Trend Micro

Привычной практикой киберпреступников в 2020 году стало двойное вымогательство: они не только шифровали информацию на всех системах целевой компании, но и похищали все важные документы. Угроза публикации в открытом доступе конфиденциальных сведений использовалась в качестве дополнительного рычага для получения выкупа, а фрагменты похищенных документов, размещённые на специальном ресурсе злоумышленников, служили доказательством успешного взлома.

Результатом такого подхода стал экспоненциальный рост суммы выкупа, который требовали операторы вымогателей у своих жертв. По данным коалиции страховых компаний, только за период с начала 2019-го по первый квартал 2020 года сумма выплат удвоилась.

В состоянии потока: обзор киберугроз 2020 года

Хит-парад числа инцидентов с участием программ-вымогателей 2020 года. Источник: Trend Micro

Лидером киберпреступного хит-парада вымогательского ПО стал печально известный WannaCry — он «засветился» более чем в 220 тысячах инцидентов. А по объемам полученных выкупов вперёд с большим отрывом вырвался вымогатель Ryuk, операторы которого получили более 150 млн долларов США.

Ковид-брендированные атаки

Главным инфоповодом, который эксплуатировали злоумышленники в 2020 году, стала пандемия COVID-19. В 2020 году было обнаружено более 16 млн угроз, связанных с коронавирусной инфекцией. Почти 90% из них представляли собой вредоносный спам — популярный среди злоумышленников вектор из-за технически более простой реализации по сравнению с созданием мошеннических сайтов и вредоносных программ.

В состоянии потока: обзор киберугроз 2020 года

Распределение COVID-брендированных угроз по типам. Источник: Trend Micro

В состоянии потока: обзор киберугроз 2020 года

Распределение COVID-брендированных угроз по странам. Источник: Trend Micro

Большая часть обнаружений пришлась на США, Германию и Францию, которые также были в числе стран, наиболее сильно пострадавших от пандемии.

Организаторы мошеннических атак оперативно адаптировались к текущей ситуации: если в первой половине года они пугали людей симптомами страшной болезни и заманивали фальшивыми компенсациями от правительств, то во второй половине года хитом стали аферы, связанные с вакцинами.

Уязвимая «удаленка»

Пандемия вынудила компании перевести сотрудников на удалённую работу из дома. И хотя это позволило сохранить работу в условиях карантина и даже снизить затраты на инфраструктуру, удалёнка стала источником нового комплекса проблем с точки зрения кибербезопасности.

Необходимость удаленного подключения к офисной сети привело к взрывному росту использования VPN. Но вместе с этим стали выявляться проблемы, связанные с ошибками в различных продуктах.

В состоянии потока: обзор киберугроз 2020 года

Случаи эксплуатации уязвимостей в популярных VPN-сервисах в 2020 году. Источник: Trend Micro

Одной из самых заметных и распространенных уязвимостей VPN в 2020 году стала критическая ошибка CVE-2019-11510 в VPN-решении Pulse Connect Secure. В 2020 году было обнаружено 800 000 уязвимых серверов с этим продуктом. Уязвимость использовали киберпреступники в реальных атаках: именно с ее помощью в системы жертв устанавливался вымогатель Sodinokibi.

Переход на удаленную работу также привёл к росту зависимости от таких коммуникационных инструментов, как Zoom, Slack и Discord. Это, в свою очередь, привело к увеличению числа атак, направленных на эти приложения. Одним из самых известных типов атак был «зумбомбинг», при котором посторонние срывали Zoom-встречи сотрудников компаний, учащихся и различных организаций.

Угрозы в облаках и уязвимый Интернет вещей

Облачная инфраструктура в 2020 году продолжала развиваться и стала критически важным условием повседневной деятельности для многих компаний. Однако рост популярности выявил серьёзные риски безопасности, связанные с небезопасной конфигурацией облачных сервисов.

Результатом стал рост числа инцидентов, связанных с поиском и эксплуатацией некорректно настроенных облачных служб. Преступники внедряли в образы виртуальных машин майнеры криптовалюты, устанавливали на сайты вредоносные сценарии для сбора данных пользователей и банковских карт, а также внедряли в корпоративную инфраструктуру вымогательское ПО.

Помимо облачной инфраструктуры ключевую роль в переходе на удалёнку сыграли устройства Интернета вещей, ярким представителем которых стали домашние маршрутизаторы. Неудивительно, что злоумышленники воспользовались ситуацией и стали активно взламывать их, чтобы использовать в качестве плацдармов для проникновения в корпоративные сети и другой вредоносной деятельности.

В состоянии потока: обзор киберугроз 2020 года

Количество атак на роутеры в 2020 году выросло почти втрое, количество атакованных роутеров — на 30%, прочие IoT-устройства в 2020 году также атаковали на 30% чаще. Источник: Trend Micro

В состоянии потока: обзор киберугроз 2020 года

Количество атак с использованием скомпрометированных роутеров в 2020 году удвоилось по сравнению с 2019 годом, при этом количество взломанных роутеров выросло лишь на 36%. Прочие устройства Интернета вещей использовались для проведения атак в 2020 году на 22% чаще, чем в 2019. Источник: Trend Micro

Учитывая низкий уровень технической грамотности большинства удаленных пользователей, для успешной реализации таких атак не требовалось значительных усилий. Закономерным следствием стал рост общего числа входящих атак на роутеры, который более чем в три раза превысил показатель 2019 года, и удвоение общего числа исходящих атак с использованием роутеров по сравнению с 2019 годом.

Во втором полугодии 2020 года исследователи Forescout обнаружили набор из 33 уязвимостей устройств Интернета вещей, получивший название Amnesia. Эти уязвимости присутствовали в большом количестве устройств Интернета вещей по всему миру, в том числе в промышленных устройствах (IIoT). Использование этих уязвимостей позволяет злоумышленникам захватить контроль над устройствами и использовать их для вредоносных действий.

Ландшафт угроз: резюме

В 2020 году инфраструктура Trend Micro Smart Protection Network защитила пользователей от более чем 62 млрд угроз, в числе которых были вредоносный спам, файлы и сайты.

В тройку самых опасных угроз вошли вымогатель WannaCry, майнер криптовалюты Coinminet и ботнет Emotet:

В состоянии потока: обзор киберугроз 2020 года

Самые распространённые угрозы 2020 года. Источник: Trend Micro

Количество новых семейств вымогательского ПО в 2020 году выросло на 34%. Из более чем 11 млн спам-рассылок 2020 года, почти в половине случаев в качестве вредоносного вложения использовались PDF-файлы. Второе и третье место по популярности среди киберпреступников получили XLSX и HTML.

В состоянии потока: обзор киберугроз 2020 года

Типы файлов, используемые в качестве вредоносных вложений в спам-кампаниях. Источник: Trend Micro

Большая часть компьютеров, на которых было обнаружено заражение вредоносным ПО, работала под управлением ОС Windows. Однако системы с macOS и Linux также были в числе пострадавших:

В состоянии потока: обзор киберугроз 2020 года

ОС компьютеров, заражённых вредоносным ПО в 2020 году. Источник: Trend Micro

Как справиться с угрозами

Преступники используют любые доступные средства для проведения атак, угрожающих безопасности компаний. Все это усугубляется уникальной ситуацией: из-за пандемии многие организации вынуждены защищать как физическое, так и виртуальное рабочее пространство.

В условиях гибридной рабочей среды с размытыми границами между «домом» и «офисом» необходимы многоуровневые технологии обеспечения безопасности, в составе которых должны быть средства обнаружения, расследования и реагирования на угрозы. Эти системы должны обеспечивать комплексную защиту всей среды от электронной почты и конечных устройств до серверов, сетевого оборудования и облачной инфраструктуры.

Предприятия должны сочетать эти технологии с правильными политиками безопасности. Даже с появлением более сложных атак фишинг и социальная инженерия все еще остаются самыми распространёнными векторами заражения. В связи с этим обязательной частью стратегии кибербезопасности должен стать вопрос обучения и тренировки сотрудников навыкам безопасного поведения при фишинговых атаках и противодействия социальной инженерии.

Кроме того, учитывая, что атаки на цепочки поставок регулярно используются злоумышленниками, компаниям следует оценивать безопасность своих поставщиков и других партнеров и, по возможности, объединить усилия для создания надежной защиты от таких атак.

И конечно, невозможно переоценить необходимость своевременного и эффективного управления исправлениями. Уязвимости, такие как Zerologon или появившиеся в 2021 году ProxyLogon, доказывают, что лучшее время для обновления — немедленно.

Однако реальность такова, что установка исправлений сложнее, чем кажется. Обновление всей системы часто занимает значительное время, а наличие уязвимостей нулевого дня еще больше усложняет ситуацию. Решить эту проблему может использование технологий виртуальных исправлений, которые позволят укрепить безопасность в ожидании официального исправления.

Автор — Михаил Кондрашин, технический директор Trend Micro в России и СНГ.


Теги: Trend Micro Партнерский материал