[Информационная безопасность, Антивирусная защита, Резервное копирование] Acronis Cyber Threats Report: 2021 станет годом вымогательства и краж данных
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой №1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом — прогнозы на 2021, данные исследований, а также статистика и выводы.Итоги 2020 года показывают, что злоумышленники тоже начали адаптироваться к новой реальности и часто у них это получается лучше, чем у реального бизнеса. По мере того, как персонал по всему миру хотя бы частично остается в режиме удаленной работы, киберпреступники начали таргетировать свои атаки на самих работников, а также на провайдеров, обеспечивающих им доступ (MSP).По итогам исследования наши аналитики сделали несколько выводов. Здесь мы решили привести самые интересные из них.
- Удаленные сотрудники станут более частой мишенью атак, потому что защита систем вне корпоративной сети легче взломать, и злоумышленники уже убедились в этом;
- Атаки с применением программ-вымогателей будут автоматизированы еще сильнее, и благодаря этому хакеры смогут атаковать конкретные компании и пользователей. При этом стоит ждать одновременного шифрования и кражи данных;
- Опасность для малого бизнеса возрастает, так как дополнительным каналом угроз становятся атаки на MSP и ПО для удаленной работы.
- Старая защита уже не работает, потому что для создания вредоносных программ используется ИИ и количество штаммов вредоносного ПО будет только увеличиваться. Учитывая, что новые версии только Ransomware появляются каждые 3-4 дня, а злоумышленники становятся все более изобретательными, для борьбы с ними нужны более гибкие подходы.
RansomwareПо данным Coalition (однин из крупнейших поставщиков услуг в сфере киберстрахования), 41% исков в уходящем году пришелся на долю атак с использованием программ-вымогателей. Цитата:«Программы-вымогатели не делают различий между отраслями. Увеличение количество атак с их использованием фиксируется практически во всех отраслях, которые мы обслуживаем», – говорится в докладе Coalition.
Мы в Acronis за последние девять месяцев обнаружили около 50 новых семейств программ-вымогателей. И что характерно для новой реальности, некоторые из них ориентируются на обычного пользователя, работающего из дома. Но такие группы, как Avaddon, Mount Locker и Suncrypt, нацелены на заражение более прибыльных корпоративных клиентов. При этом все чаще вредоносное ПО предоставляется как услуга. Из-за этого количество атак становится намного больше. А жизненный цикл экземпляра вредоносного ПО составляет всего 3-4 дня.
В марте, когда в большинстве стран был впервые объявлен карантин, центры Acronis CPOC наблюдали пиковое значение количества новых программ-вымогателей в глобальном масштабе. Активность Ransomware с того момента остается повышенной. При этом нет никакого распределения по вертикалям или географическим регионам — атаки охватывают все отрасли и регионы. то здесь выраженных предпочтений у злоумышленников нет. Интересно, что почти половина атак с применением Ransomware в 2020 году была осуществлена за счет вредоносного ПО Maze. При этом киберпреступники не останавливаются на достигнутом и ищут способы увеличить прибыль. Вместе с шифрованием происходит кража конфиденциальной, а иногда и компрометирующей информации для шантажа и публикации украденных данных.Предположительно, именно с помощью Maze 30 июля 2020 года была проведена атака на Canon, в результате которой был выведен из строя сервис облачного хранения image.canon. При этом злоумышленник, взявший на себя ответственность за атаку,заявил о краже 10 ТБ личных данных. Кстати, это вполне вероятно, потому что операторы Maze уже опубликовали данные Xerox и LG, отказавшихся платить выкуп. Эта информация была украдена во время успешной атаки в июне 2020 года. Факты о Maze
- Не только шифрует, но и крадет данные, чтобы опубликовать их, если выкуп не будет выплачен
- Крупнейшими жертвами Maze стали Canon, Xerox и LG
- Использует методы противодействия разборке и отладке
- Не шифрует системы, в которых по умолчанию установлен регион Россия
- блокируется вызов wmic.exe для удаления теневых копий
- Отправляет запрос HTTP на сервер C&C в сети ‘91.218.114.0’ которая зарегистрирована в Москве, Россия
- Для распространения использует инструменты Mimikatz, Procdump и Cobalt Strike
Конечно, Maze обходит стороной российские компании, но не стоит расслабляться — другие шифровальщики перенимают эту модель и тоже начинают красть данные пользователей. По нашим данным в 2020 году более 1 000 компаний стали жертвами утечки информации после атак с применением программ-вымогателей, и в следующем году эта тенденция только усилится, потеснив шифрование данных.Удаленные сотрудники под прицеломНо вернемся к проблеме удаленных рабочих мест. Чуть ранее мы публиковали отчет Acronis Cyber Readiness Report (ссылка), который показал, что ИТ-менеджеры столкнулись с очень неприятной ковид-проблемой при массовом переходе сотрудников на удаленку. Лидером списка сложностей стала проблема инструктажа пользователей, а уже на втором месте идут технические меры их поддержки. Таким образом, сами сотрудники оказались под ударом.
При этом атаки на пользователей происходят через различное ПО, необходимое при удаленной работе. Мы уже сообщали о взломах Zoom, но аналогичным атакам подверглись также Microsoft Teams и Webex. Например,50 000 пользователей Microsoft 365 были атакованы в течение недели фишинговыми письмами, из которых работники попадали на фиктивную страницу входа в систему Microsoft 365.Атакам подверглись файлообменники Microsoft, такие как Sway, SharePoint и OneNote. Например, атака PerSwaysion (как можно догадаться, нацеленная на сервисы Sway), начинается с рассылки фишинговых писем с вредоносным вложением PDF. Пользователи думают, что получают уведомление от файлообменника Microsoft 365 с гиперссылкой «Read Now». При переходе по ссылке открывается еще один обманный документ файлообменника Microsoft Sway. И если снова пройти по ссылке, вы попадаете на фальшивую страницу входа в систему Microsoft, чтобы поделиться своими учетными данными с мошенниками.Разумеется, уязвимости существуют не только у продуктов Microsoft. В 2020 году мы регистрировали критические уязвимости для целого спектра различных продуктов, включая те самые VPN, которые должны обеспечить безопасный доступ для удаленных сотрудников. Например, в Citrix VPN уязвимость позволяла запускать произвольный код (CVE-2019-19781), а на серверах Pulse Secure VPN уязвимость CVE-2019-11510 позволяет читать произвольные файлы.Атаки на MSPК тому же злоумышленники прекрасно понимают, что компании СМБ в своем большинстве пользуются сервисами провайдеров управляемых услуг (MSP). И вместо того, чтобы взламывать 100 разных компаний, хакеры стали чаще обращать внимание именно на сети MSP. 2020 год показал, что взломать MSP можно разными способами. Например, для этого все чаще используются уязвимости и недостаточная защита ПО удаленного доступа. Компании, которые не устанавливали патчи, не использовали двухфакторную аутентификацию, а также не боролись с фишингом получили максимум ущерба. Например, транснациональный поставщик IT-сервисов DXC Technology сообщила об атаке на ИТ-системы своей дочерней компании Xchanging. Сервисами этой компании пользуются организации из сферы страхования, финансовых услуг, аэрокосмическая промышленность, оборонные компании, автомобильная промышленность, организации из сферы образования, производители потребительских товаров, организации здравоохранения и обрабатывающая промышленность. Еще один пример – канадская Pivot Technology Solutions, которая также сообщила о кибератаке на свою IT-инфраструктуру. В сообщении компании говорится, что атака могла затронуть и персональные данные пользователей клиентов компании и их сотрудников. Так что в 2021 году стоит ждать продолжения подобных атак, ведь с точки зрения злоумышленников они полностью оправдали себя. Уязвимости, затраты и примеры атакНаши аналитики провели более детальный анализ киберугроз и атак, совершенных в 2020 году. Поэтому в следующем посте мы расскажем о том, как изменились затраты компаний на безопасность, насколько выросло количество уязвимостей в различном ПО, а также о популярности различных типов кибератак.Если вам хочется почитать отчет целиком, полную версию Acronis Cyber Threats Report можно прочитать здесь (ссылка).
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Хранение данных] 5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Принятие
- [Информационная безопасность] «Меня развели мои же коллеги»: как и зачем мы проводим внутренние фишинговые рассылки
- [Информационная безопасность, Машинное обучение] Машинное обучение в кибербезопасности
- [Информационная безопасность, История IT, Научно-популярное, Мозг, Будущее здесь] Связь вокруг нас
- [Информационная безопасность, Криптография, Алгоритмы] Симметричный алгоритм блочного шифрования Advanced Encryption Standart
- [Информационная безопасность, DNS] NXNSAttack или что делать с DDoS-атакой, усиленной в 163 раза
- [Информационная безопасность, Open source, GitHub, Софт] Программу для взлома паролей 1Password удалили с Github, а её автор исчез
- [Информационная безопасность, Открытые данные] Разведка на основе открытых источников
- [Информационная безопасность, Криптография, Open source, Лайфхаки для гиков] Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их
- [Информационная безопасность, Софт] Взломанный сервер обновлений SolarWinds был защищён паролем 'solarwinds123'
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_antivirusnaja_zaschita (Антивирусная защита), #_rezervnoe_kopirovanie (Резервное копирование), #_acronis, #_kiberbezopasnost (кибербезопасность), #_kiberzaschita (киберзащита), #_ransomware, #_blog_kompanii_acronis (
Блог компании Acronis
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_antivirusnaja_zaschita (
Антивирусная защита
), #_rezervnoe_kopirovanie (
Резервное копирование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:44
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой №1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом — прогнозы на 2021, данные исследований, а также статистика и выводы.Итоги 2020 года показывают, что злоумышленники тоже начали адаптироваться к новой реальности и часто у них это получается лучше, чем у реального бизнеса. По мере того, как персонал по всему миру хотя бы частично остается в режиме удаленной работы, киберпреступники начали таргетировать свои атаки на самих работников, а также на провайдеров, обеспечивающих им доступ (MSP).По итогам исследования наши аналитики сделали несколько выводов. Здесь мы решили привести самые интересные из них.
Мы в Acronis за последние девять месяцев обнаружили около 50 новых семейств программ-вымогателей. И что характерно для новой реальности, некоторые из них ориентируются на обычного пользователя, работающего из дома. Но такие группы, как Avaddon, Mount Locker и Suncrypt, нацелены на заражение более прибыльных корпоративных клиентов. При этом все чаще вредоносное ПО предоставляется как услуга. Из-за этого количество атак становится намного больше. А жизненный цикл экземпляра вредоносного ПО составляет всего 3-4 дня. В марте, когда в большинстве стран был впервые объявлен карантин, центры Acronis CPOC наблюдали пиковое значение количества новых программ-вымогателей в глобальном масштабе. Активность Ransomware с того момента остается повышенной. При этом нет никакого распределения по вертикалям или географическим регионам — атаки охватывают все отрасли и регионы. то здесь выраженных предпочтений у злоумышленников нет. Интересно, что почти половина атак с применением Ransomware в 2020 году была осуществлена за счет вредоносного ПО Maze. При этом киберпреступники не останавливаются на достигнутом и ищут способы увеличить прибыль. Вместе с шифрованием происходит кража конфиденциальной, а иногда и компрометирующей информации для шантажа и публикации украденных данных.Предположительно, именно с помощью Maze 30 июля 2020 года была проведена атака на Canon, в результате которой был выведен из строя сервис облачного хранения image.canon. При этом злоумышленник, взявший на себя ответственность за атаку,заявил о краже 10 ТБ личных данных. Кстати, это вполне вероятно, потому что операторы Maze уже опубликовали данные Xerox и LG, отказавшихся платить выкуп. Эта информация была украдена во время успешной атаки в июне 2020 года. Факты о Maze
При этом атаки на пользователей происходят через различное ПО, необходимое при удаленной работе. Мы уже сообщали о взломах Zoom, но аналогичным атакам подверглись также Microsoft Teams и Webex. Например,50 000 пользователей Microsoft 365 были атакованы в течение недели фишинговыми письмами, из которых работники попадали на фиктивную страницу входа в систему Microsoft 365.Атакам подверглись файлообменники Microsoft, такие как Sway, SharePoint и OneNote. Например, атака PerSwaysion (как можно догадаться, нацеленная на сервисы Sway), начинается с рассылки фишинговых писем с вредоносным вложением PDF. Пользователи думают, что получают уведомление от файлообменника Microsoft 365 с гиперссылкой «Read Now». При переходе по ссылке открывается еще один обманный документ файлообменника Microsoft Sway. И если снова пройти по ссылке, вы попадаете на фальшивую страницу входа в систему Microsoft, чтобы поделиться своими учетными данными с мошенниками.Разумеется, уязвимости существуют не только у продуктов Microsoft. В 2020 году мы регистрировали критические уязвимости для целого спектра различных продуктов, включая те самые VPN, которые должны обеспечить безопасный доступ для удаленных сотрудников. Например, в Citrix VPN уязвимость позволяла запускать произвольный код (CVE-2019-19781), а на серверах Pulse Secure VPN уязвимость CVE-2019-11510 позволяет читать произвольные файлы.Атаки на MSPК тому же злоумышленники прекрасно понимают, что компании СМБ в своем большинстве пользуются сервисами провайдеров управляемых услуг (MSP). И вместо того, чтобы взламывать 100 разных компаний, хакеры стали чаще обращать внимание именно на сети MSP. 2020 год показал, что взломать MSP можно разными способами. Например, для этого все чаще используются уязвимости и недостаточная защита ПО удаленного доступа. Компании, которые не устанавливали патчи, не использовали двухфакторную аутентификацию, а также не боролись с фишингом получили максимум ущерба. Например, транснациональный поставщик IT-сервисов DXC Technology сообщила об атаке на ИТ-системы своей дочерней компании Xchanging. Сервисами этой компании пользуются организации из сферы страхования, финансовых услуг, аэрокосмическая промышленность, оборонные компании, автомобильная промышленность, организации из сферы образования, производители потребительских товаров, организации здравоохранения и обрабатывающая промышленность. Еще один пример – канадская Pivot Technology Solutions, которая также сообщила о кибератаке на свою IT-инфраструктуру. В сообщении компании говорится, что атака могла затронуть и персональные данные пользователей клиентов компании и их сотрудников. Так что в 2021 году стоит ждать продолжения подобных атак, ведь с точки зрения злоумышленников они полностью оправдали себя. Уязвимости, затраты и примеры атакНаши аналитики провели более детальный анализ киберугроз и атак, совершенных в 2020 году. Поэтому в следующем посте мы расскажем о том, как изменились затраты компаний на безопасность, насколько выросло количество уязвимостей в различном ПО, а также о популярности различных типов кибератак.Если вам хочется почитать отчет целиком, полную версию Acronis Cyber Threats Report можно прочитать здесь (ссылка). =========== Источник: habr.com =========== Похожие новости:
Блог компании Acronis ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_antivirusnaja_zaschita ( Антивирусная защита ), #_rezervnoe_kopirovanie ( Резервное копирование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:44
Часовой пояс: UTC + 5