[Информационная безопасность] Не только лишь удаленка: как атаковали киберпреступники в 2020 году
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего дома и потерявшего бдительность работника, каждую незамеченную веб-уязвимость. А главное – хакеры взяли в полноценный оборот метод supply chain, с помощью которого успели совершить самую громкую атаку года. В итоге для злоумышленников год оказался очень даже насыщенным. В 2020 году Solar JSOC зафиксировал 1,9 млн кибератак (на 73% больше, чем в 2019-м), а доля критических инцидентов выросла на 20%. Подробнее о том, как и зачем совершали атаки на компании в 2020 году – в нашем посте.Как мы это считаемВся представленная здесь статистика относится к нашим заказчикам, а это более 130 организаций из разных отраслей: госсектор, финансы, нефтегаз, энергетика, телеком, ритейл. Все компании представляют сегмент large enterprise и enterprise cо средним количеством сотрудников от 1000 человек и оказывают услуги в разных регионах страны.
Наша задача – выявить действия злоумышленника еще на подступах и не допустить успешной атаки. Поэтому нам сложно оценить, какая конечная цель была у хакера: прямая нажива, сбор чувствительных данных, закрепление в инфраструктуре для дальнейшей продажи ресурсов, хактивизм… Дабы сделать взвешенный анализ происходящего, мы использовали комбинированную методику, которая опирается на особенности атаки, а также на наши подходы в определении типов злоумышленников. При выявлении инцидентов на ранней стадии мы учитывали техники и методики атаки, функционал вредоносного ПО, атрибуцию и данные о хакерской группировке и т.д.Наша классификация типов злоумышленниковКатегория нарушителяТиповые целиВозможности нарушителяАвтоматизированные системыВзлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атакахАвтоматизированное сканированиеКиберхулиган/Энтузиаст-одиночкаХулиганство, нарушение целостности инфраструктурыОфициальные и Open Source инструменты для анализа защищенностиКиберкриминал / Организованные группировкиПриоритетная монетизация атаки: шифрование, майнинг, вывод денежных средствКастомизированные инструменты, доступное ВПО, доступные уязвимости, социальный инжинирингКибернаемники / Продвинутые группировкиНацеленность на заказные работы, шпионаж в интересах конкурентов, последующая крупная монетизация, хактивизм, деструктивные действияСамостоятельно разработанные инструменты, приобретенны 0-day-уязвимостиКибервойска / Прогосударственные группировки Кибершпионаж, полный захват инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизмСамостоятельно найденные 0-day-уязвимости, разработанные и внедренные «закладки»Иногда у новых подключаемых заказчиков мы выявляли атаки в фазе распространения, в этом случае на скомпрометированных хостах мы учитывали: их территориальную распределенность, функционал, возможности реализации одной из вышеприведенных целей, динамику и вектор движения киберпреступника.
Если в рамках расследования инцидентов у клиентов, не использующих сервисы Solar JSOC, выявлялись атаки на финальной стадии, то ключевым критерием, определяющим вектор атаки, становились данные о фактическом ущербе.
Из статистики мы исключили так называемые простые атаки, не ведущие к реальным инцидентам ИБ: деятельность бот-сетей, сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей.Контроль и немного денегУже не первый год основной целью злоумышленников становится контроль над инфраструктурой жертвы. За год количество таких атак увеличилось на 30%. В первую очередь из-за возросшей активности кибернаемников и группировок, спонсируемых иностранными государствами. Их цель – шпионаж или максимально скрытое закрепление в инфраструктуре для дальнейших деструктивных действий в нужный момент.Чуть популярнее (примерно на 10% в сравнении с предыдущим годом) стала кража денег. Кстати, в 2019 году доля таких атак сокращалась, что мы связывали с повышением уровня защищенности в кредитно-финансовой сфере. К сожалению, строгость банковской безопасности в условиях удаленки «компенсировалась» необязательностью ослаблением ее возможностей, да и бюджетирование ИБ в 2020-ом, прямо скажем, снизилось.Подрядчик - слабое звеноВ 2020 году в качестве отдельного тренда мы впервые выделили атаки через подрядчиков (supply chain). Этот путь в инфраструктуру жертвы злоумышленники используют, конечно, не первый год, но именно в 2020-ом такая техника взлома показала двукратный рост и, возможно, совсем скоро станет главной «болью» всех ибэшников. Достаточно вспомнить, сколько шума было вокруг атаки на SolarWinds, в результате которой пострадали Microsoft, Cisco, FireEye и несколько ключевых министерств и ведомств США. Явно тянет на премию «Киберинцидент года». Доля атак supply chain пока невелика, однако именно таким способом профессиональные злоумышленники взламывают ключевые организации страны: органы власти и объекты КИИ. Рост популярности метода указывает не просто на изменение технической специфики атак, но на формирование новой ключевой киберугрозы на государственном уровне (уж простите за пафос). С одной стороны, этот тренд объясняется ростом числа более сложных целенаправленных атак. С другой – все чаще организации отдают на аутсорсинг часть внутренних процессов бог весть кому, не проверяя благонадежность подрядчика и его уровень киберзащиты. Да и, будем честны: мало кто сегодня проводит регулярный аудит своей инфраструктуры (которая значительно усложнилась в последние годы). А значит, незащищенные узлы, которыми пользуются или пользовались раньше подрядные организации, могут довольно долго оставаться незаметными для служб ИБ. Но не для атакующих. Тренды ВПОСамым популярным инструментом внешних злоумышленников остаются атаки с использованием вредоносов. Их доля в 2020 году составила 39%, что на четверть превышает показатель 2019 года. Среди ВПО все более популярными становятся шифровальщики (количество атак, где они применялись, выросло примерно на 30%). Еще немного о ВПО:
- Третий год подряд абсолютным лидером был банковский троян RTM, который составляет почти половину всего ВПО, используемого профессиональными группировками. Второе место (почти четверть) заняло семейство Emotet, которое также ориентировано на банковский сектор.
- Стоит отметить продажу исходников вредоносного кода шифровальщика Dharma, которые во второй половине 2020 года получили распространение в самых разных модификациях.
- В части инструментов закрепления все чаще использовались механизмы автозагрузки или создание собственных системных служб. Эти методы были популярны как у киберкриминала, так и у более профессиональных группировок.
- Активнее использовались бесплатные или свободно распространяемые утилиты – уже более чем в 40% атак. В список популярного инструментария злоумышленников также попали утилиты от Nirsoft.
- В атаках на веб-приложения при загрузке веб-шелла часто использовалась «родная» для него среда с минимальным внедрением сторонних модулей, что сильно затрудняло детектирование. В одном из кейсов 2020 года злоумышленник применил powershell-скрипты для взаимодействия с шеллом, а команды передавал по DNS-туннелю на легитимный сайт (ceye.io), созданный ИБ-сообществом для тестирования корпоративных систем.
- У некоторых наших заказчиков из кредитно-финансовой сферы фиксировались рассылки ВПО Zloader. Пользователи получали документ Excel, при открытии которого запускались определенные формулы в ячейках, выполняющие необходимые действия, включая антианализ и загрузку ВПО. Сами формулы были разбросаны по огромному листу, чтобы их было труднее заметить и проанализировать. Стоит отметить, что технология макросов Excel 4.0 считается устаревшей и сейчас почти не используется.
Больше фишингаЗдесь без сюрпризов: фишинг был, есть и будет самым популярным способом доставки ВПО на машину жертвы. С него в 2020 году начинались 75% атак профессиональных злоумышленников. Естественно, последние активно спекулировали на теме пандемии и лекарства от COVID-19: вредоносные письма имитировали официальную рассылку с информацией о распространении коронавируса, вводимых ограничениях, вакцинации сотрудников и т. п. При этом эффективность подобных атак увеличилась на фоне перехода на удаленный режим работы (снизился контроль за доступом сотрудников в интернет, домашние незащищенные устройства использовались для работы, сами пользователи потеряли бдительность на фоне общей паники и сложностей, связанных с самоизоляцией).Больше атак внешних злоумышленниковТипы атак1-е полугодие 20192-е полугодие 20191-е полугодие 20202-е полугодие 2020Вредоносное ПО (ВПО)30,7%32,6%38,5%35,2%Атаки на веб-приложения33,8%34,6%33,2%34,2%Brute force и компрометация учетных данных внешних сервисов клиента19,8%18,7%14,2%13,6%DDoS-атаки5,3%4,2%4,4%5,8%Атаки на управляющие протоколы систем4,8%4,9%4,3%4,1%Прочие внешние атаки: атаки на сетевой стек, уязвимости DNS, нарушение защищенного периметра, фишинг2,7%2,2%2,5%2,9%Компрометация административных учетных записей2,1%1,6%1,8%2,6%Эксплуатации прочих уязвимостей0,8%1,2%1,1%1,6%Работники без контроляНачиная с 2017 года количество внутренних инцидентов сокращалось, но пандемия все изменила, и мы, увы, вновь увидели рост таких нарушений. Причем более 60% из них совершают простые смертные обычные работники. В топе нарушений – утечки информации. Некоторые умники и раньше искали дополнительный источник дохода в виде хищения и слива корпоративных данных. Но в условиях удаленки число таких «находчивых» увеличилось: сотрудники стали совершать нарушения, на которые не решились бы в офисе. Кто-то совершал подобные действия непреднамеренно – из-за криво настроенных систем удаленного доступа или банальной невнимательности. Из-за снижения контроля со стороны ИБ-служб стало больше нарушений политик доступа в интернет. Тут вам и серфинг по подозрительным сайтам с рабочего ноута, и нелегитимный доступ к закрытым ресурсам компании из-за сложностей сегментирования корпоративной сети на базе VPN. Зато сократились инциденты по использованию RAT (remote admin tool, средства удаленного администрирования). Но радоваться не стоит - в пандемию этот инструмент практически не использовался в организациях, а, значит, и хакерам был не особо интересен. Что еще нарушалиТипы атак1-е полугодие 20192-е полугодие 20191-е полугодие 20202-е полугодие 2020Утечки конфиденциальных данных49,4%50,2%52,2%53,4%Компрометация внутренних учетных записей19,3%17,9%14,1%12,3%Нарушение политик доступа в интернет9,2%8,2%10,2%11,4%Использование хакерских и потенциально вредоносных утилит 6,4%7,3%7,5%7,8%Нелегитимные изменения в ИТ-системах: деятельность аутсорсеров и подрядчиков, в том числе несогласованные работы, приводящие к простою критически важных бизнес-систем4,5%5,6%5,8%5,4%Использование инструментов для удаленного доступа (remote admin tools) или туннелирования трафика6,8%7,2%6,3%5,1%Несанкционированные активности в рамках удаленного доступа (VPN), в том числе построение цепочки сессий до запрещенного сервера, выгрузка данных на внешний компьютер1,3%0,6%1,8%3,0%Нелегитимные работы под привилегированными учетными записями2,4%2,6%1,7%1,3%Прочее0,7%0,4%0,4%0,3%Еще больше про 2020-й мы расскажем в рамках вебинара, который пройдет в понедельник, 5 апреля. Вспомним и разберем самые громкие атаки прошедшего года, расскажем про наши источники Threat Intelligence и обсудим, что ждать в 2021-ом. Присоединяйтесь по ссылке, там же оставляйте свои вопросы и комментарии по теме. Ждем всех!
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Security Week 13: сбор данных для атак на бизнес
- [Информационная безопасность, PHP] Пресечена попытка встроить бэкдор в репозиторий PHP
- [Настройка Linux, Информационная безопасность] Linux. Как работает hardening
- [Информационная безопасность, CRM-системы, Управление персоналом, Софт] Контроль сотрудников: не сходите с ума
- [Информационная безопасность] Технические средства мониторинга ИБ
- [Информационная безопасность, Разработка под iOS, Гаджеты, Смартфоны] Apple закрыла активно используемую уязвимость нулевого дня в iPhone, iPad и Watch
- [Информационная безопасность, Assembler, Реверс-инжиниринг, Хранение данных, CTF] Ломаем зашифрованный диск для собеседования от RedBalloonSecurity. Part 1
- [Информационная безопасность, Системное администрирование, DevOps, Kubernetes] 10 Kubernetes Security Context, которые необходимо понимать (перевод)
- [Информационная безопасность, Криптография, Python, C++, ООП] Поддержка токенов PKCS#11 с ГОСТ-криптографией в Python. Часть II — Обёртка PyKCS11
- [Информационная безопасность, Учебный процесс в IT] Хакеры быстрого приготовления
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_security, #_soc, #_kiberataki (кибератаки), #_supply_chain, #_fishing (фишинг), #_vpo (впо), #_blog_kompanii_rostelekomsolar (
Блог компании Ростелеком-Солар
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:31
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего дома и потерявшего бдительность работника, каждую незамеченную веб-уязвимость. А главное – хакеры взяли в полноценный оборот метод supply chain, с помощью которого успели совершить самую громкую атаку года. В итоге для злоумышленников год оказался очень даже насыщенным. В 2020 году Solar JSOC зафиксировал 1,9 млн кибератак (на 73% больше, чем в 2019-м), а доля критических инцидентов выросла на 20%. Подробнее о том, как и зачем совершали атаки на компании в 2020 году – в нашем посте.Как мы это считаемВся представленная здесь статистика относится к нашим заказчикам, а это более 130 организаций из разных отраслей: госсектор, финансы, нефтегаз, энергетика, телеком, ритейл. Все компании представляют сегмент large enterprise и enterprise cо средним количеством сотрудников от 1000 человек и оказывают услуги в разных регионах страны. Наша задача – выявить действия злоумышленника еще на подступах и не допустить успешной атаки. Поэтому нам сложно оценить, какая конечная цель была у хакера: прямая нажива, сбор чувствительных данных, закрепление в инфраструктуре для дальнейшей продажи ресурсов, хактивизм… Дабы сделать взвешенный анализ происходящего, мы использовали комбинированную методику, которая опирается на особенности атаки, а также на наши подходы в определении типов злоумышленников. При выявлении инцидентов на ранней стадии мы учитывали техники и методики атаки, функционал вредоносного ПО, атрибуцию и данные о хакерской группировке и т.д.Наша классификация типов злоумышленниковКатегория нарушителяТиповые целиВозможности нарушителяАвтоматизированные системыВзлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атакахАвтоматизированное сканированиеКиберхулиган/Энтузиаст-одиночкаХулиганство, нарушение целостности инфраструктурыОфициальные и Open Source инструменты для анализа защищенностиКиберкриминал / Организованные группировкиПриоритетная монетизация атаки: шифрование, майнинг, вывод денежных средствКастомизированные инструменты, доступное ВПО, доступные уязвимости, социальный инжинирингКибернаемники / Продвинутые группировкиНацеленность на заказные работы, шпионаж в интересах конкурентов, последующая крупная монетизация, хактивизм, деструктивные действияСамостоятельно разработанные инструменты, приобретенны 0-day-уязвимостиКибервойска / Прогосударственные группировки Кибершпионаж, полный захват инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизмСамостоятельно найденные 0-day-уязвимости, разработанные и внедренные «закладки»Иногда у новых подключаемых заказчиков мы выявляли атаки в фазе распространения, в этом случае на скомпрометированных хостах мы учитывали: их территориальную распределенность, функционал, возможности реализации одной из вышеприведенных целей, динамику и вектор движения киберпреступника. Если в рамках расследования инцидентов у клиентов, не использующих сервисы Solar JSOC, выявлялись атаки на финальной стадии, то ключевым критерием, определяющим вектор атаки, становились данные о фактическом ущербе. Из статистики мы исключили так называемые простые атаки, не ведущие к реальным инцидентам ИБ: деятельность бот-сетей, сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей.Контроль и немного денегУже не первый год основной целью злоумышленников становится контроль над инфраструктурой жертвы. За год количество таких атак увеличилось на 30%. В первую очередь из-за возросшей активности кибернаемников и группировок, спонсируемых иностранными государствами. Их цель – шпионаж или максимально скрытое закрепление в инфраструктуре для дальнейших деструктивных действий в нужный момент.Чуть популярнее (примерно на 10% в сравнении с предыдущим годом) стала кража денег. Кстати, в 2019 году доля таких атак сокращалась, что мы связывали с повышением уровня защищенности в кредитно-финансовой сфере. К сожалению, строгость банковской безопасности в условиях удаленки «компенсировалась» необязательностью ослаблением ее возможностей, да и бюджетирование ИБ в 2020-ом, прямо скажем, снизилось.Подрядчик - слабое звеноВ 2020 году в качестве отдельного тренда мы впервые выделили атаки через подрядчиков (supply chain). Этот путь в инфраструктуру жертвы злоумышленники используют, конечно, не первый год, но именно в 2020-ом такая техника взлома показала двукратный рост и, возможно, совсем скоро станет главной «болью» всех ибэшников. Достаточно вспомнить, сколько шума было вокруг атаки на SolarWinds, в результате которой пострадали Microsoft, Cisco, FireEye и несколько ключевых министерств и ведомств США. Явно тянет на премию «Киберинцидент года». Доля атак supply chain пока невелика, однако именно таким способом профессиональные злоумышленники взламывают ключевые организации страны: органы власти и объекты КИИ. Рост популярности метода указывает не просто на изменение технической специфики атак, но на формирование новой ключевой киберугрозы на государственном уровне (уж простите за пафос). С одной стороны, этот тренд объясняется ростом числа более сложных целенаправленных атак. С другой – все чаще организации отдают на аутсорсинг часть внутренних процессов бог весть кому, не проверяя благонадежность подрядчика и его уровень киберзащиты. Да и, будем честны: мало кто сегодня проводит регулярный аудит своей инфраструктуры (которая значительно усложнилась в последние годы). А значит, незащищенные узлы, которыми пользуются или пользовались раньше подрядные организации, могут довольно долго оставаться незаметными для служб ИБ. Но не для атакующих. Тренды ВПОСамым популярным инструментом внешних злоумышленников остаются атаки с использованием вредоносов. Их доля в 2020 году составила 39%, что на четверть превышает показатель 2019 года. Среди ВПО все более популярными становятся шифровальщики (количество атак, где они применялись, выросло примерно на 30%). Еще немного о ВПО:
=========== Источник: habr.com =========== Похожие новости:
Блог компании Ростелеком-Солар ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:31
Часовой пояс: UTC + 5