В третьем квартале 2020 года под удар злоумышленников попали госучреждения (14% от общего числа атак), промышленность и энергетика (11%) и медицинские учреждения (10%). За каждой второй атакой стоят операторы вирусов-шифровальщиков. Этими и другими наблюдениями поделились эксперты Positive Technologies и Microsoft в России на пресс-конференции «Тенденции кибератак в России и мире, профиль злоумышленников, тренды и прогнозы».
Число атак на медицину по сравнению с третьим кварталом 2019 года существенно выросло (если тогда специалисты PT Expert Security Center зафиксировали только 11 атак, то теперь было зафиксировано уже 46 случаев). Это связано с повышенным интересом киберпреступников к медицинским организациям, которые сейчас находятся на передовой в борьбе с коронавирусной инфекцией. Половина атак были совершены операторами шифровальщиков. Помимо учреждений, оказывающих непосредственную помощь больным COVID-19, атакам подвергаются и исследовательские центры, которые занимаются разработкой вакцины. Основной целью злоумышленников является информация о последних наработках и результатах апробации.
Растет и количество атак на промышленность. Если за весь 2019 год их было 125, то в 2020 году только за первые три квартала специалисты Positive Technologies зафиксировали уже 170 атак. Индустриальные компании в основном подвергались атакам со стороны шифровальщиков и APT-группировок 1, таких как Maze, Sodinokibi, Netwalker, Nefilim, DoppelPaymer, Snake, RansomEXX, Conti. В третьем квартале текущего года доля атак с использованием шифровальщиков составила 43% от общего числа атак. Начальным вектором проникновения в атаках на промышленность были как фишинговые письма, так и уязвимости на сетевом периметре.
Согласно отчету Microsoft Digital Defense Report, растет число атак на интернет вещей: в первой половине 2020 года оно увеличилось на 35% по сравнению со второй половиной 2019 года. Рост продолжится, так как 71% устройств IoT используют неподдерживаемые версии ОС, не получающие обновлений безопасности, 64% хранят пароли в незащищенном виде. Кроме того, промышленные компании фиксируют рост атак на цепочки поставок.
«В этом году мы наблюдаем тенденцию к увеличению числа атак, в которых вредоносное ПО распространяется путем эксплуатации уязвимостей на ресурсах сетевого периметра, — отметил Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Если в первом квартале 12% атак осуществлялись с помощью компрометации серверов, ПК и сетевого оборудования (и 81% посредством электронной почты), то в третьем квартале доля атак, связанных с уязвимостями сетевого периметра, выросла почти втрое, до 31%. Рост доли хакинга объясняется повсеместным переходом на удаленный режим работы и быстрым изменением состава сервисов на сетевом периметре многих организаций. В первую очередь злоумышленники эксплуатируют известные уязвимости в решениях для удаленного доступа, ищут уязвимости в веб-приложениях, подбирают пароли для доступа по RDP 2».
Тем не менее специалисты Microsoft отмечают также продолжающийся рост фишинговых атак. «Последние несколько лет для сбора учетных данных киберпреступники в основном использовали вредоносное ПО. В этом году мы видим смещение фокуса злоумышленников на фишинговые атаки (около 70%) как на более прямое средство достижения цели. Чтобы обманом заставить людей предоставить свои учетные данные, злоумышленники направляют им электронные письма, имитирующие рассылки известных брендов. При этом фишинговые письма становятся все более продуманными, эксплуатируют тревожность людей и их потребность в информации: темы писем коррелируют с актуальными новостями на тему пандемии», — комментирует Артем Синицын, руководитель программ ИБ Microsoft в странах Центральной и Восточной Европы. За год компания Microsoft заблокировала более 13 млрд вредоносных и подозрительных писем, из которых более 1 млрд включали URL-адреса, активирующие запуск фишинг-атак, нацеленных на получение учетных данных.
Тренд на постоянное увеличение числа атак шифровальщиков отмечают эксперты обеих компаний. По информации Positive Technologies, если в первом квартале 2020 года доля шифровальщиков в атаках на организации с использованием вредоносного ПО составляла 34%, то в третьем квартале она достигла 51%. Доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации в третьем квартале выросла до 30% (в первом квартале было 9%). Киберпреступники преследовали самые разные цели — от установки майнеров до кибершпионажа в сетях крупных компаний. На протяжении последнего времени злоумышленники активно эксплуатируют уязвимости в VPN-решениях и системах для организации удаленного доступа, в частности в продуктах Pulse Secure, Fortinet, Palo Alto и Citrix.
По данным Microsoft, с октября 2019 года по июль 2020 года программы-вымогатели были наиболее частой причиной инцидентов ИБ, на которые приходилось реагировать специалистам по безопасности. Модели атак показывают, что киберпреступники тщательно выбирают дату осуществления атаки — например, в праздничные дни или в конце финансового квартала, когда организациям сложнее оперативно отреагировать на вторжение. Сократилось время пребывания в системе жертвы, в некоторых случаях киберпреступники прошли путь от первоначального входа в систему до компрометации всей сети менее чем за 45 минут.
Эксперты Positive Technologies отмечают, что с операторами вирусов-шифровальщиков все чаще сотрудничают APT-группировки — для получения максимального дохода. Если похищенная информация не приносит APT-группировке ожидаемой прибыли, работу компании пытаются нарушить ради получения выкупа.
В числе других интересных методов атакующих, которые отмечает PT Expert Security Center, — постоянная модернизация загрузчиков вредоносного ПО (например, группировка APT28 ежемесячно вносит простейшие изменения в свои загрузчики, чтобы более эффективно обходить средства защиты) и компрометация корпоративных сетей с использованием фишинга через соцсети (так действует северокорейская группа Lazarus).
- Advanced persistent threat — сложная целенаправленная атака.
- Remote Desktop Protocol — протокол удаленного рабочего стола.