Positive Technologies

В четвертом квартале 2019 года на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же насчитали за весь 2018 год), а уже в первом квартале 2020 года в продаже было более 80 доступов. Чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (все это 58% предложений в совокупности).

Если год-два назад злоумышленников в основном интересовали доступы к единичным серверам, которые стоили в пределах 20 долл., то со второй половины 2019 года наблюдается рост интереса к покупке доступов к локальным сетям компаний. Выросли и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от 500 млн долл. предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5 тыс. долл.

В число жертв сегодня входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (более трети всех предложений); также в пятерку входят Италия и Великобритания, Бразилия, Германия. При этом в случае США чаще всего продают доступы в организации сферы услуг, промышленные компании и государственные учреждения, в Италии в лидерах спроса промышленность и сфера услуг, а в Великобритании ? сфера науки и финансовая отрасль.

Обычно покупатели такого товара — другие злоумышленники. Они приобретают доступы, чтобы развить атаку самостоятельно либо нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков.

Как ожидают аналитики, в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка. В период всемирного карантина, когда компании массово переводят сотрудников на удаленную работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник.

Для того чтобы избежать проблем, эксперты Positive Technologies рекомендуют компаниям уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. В первую очередь следует убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. Регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.

Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола. Аутентификации при этом не требуется. В случае успеха злоумышленник сможет устанавливать и удалять программы в скомпрометированной системе, создавать учетные записи с максимальным уровнем доступа, читать и редактировать конфиденциальную информацию. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.

По динамике роста числа открытых по RDP узлов на сегодняшний день лидирует Уральский федеральный округ: оно увеличилось на 21%, а общая доля узлов, уязвимых для BlueKeep, составляет 17%. Далее идут Сибирский, Северо-Западный и Северо-Кавказский округа. В Центральном федеральном округе ситуация самая благополучная.

Как констатируют аналитики, на сетевом периметре российских компаний начало увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. В первую очередь, они связывают это с поспешным переводом части сотрудников на удаленную работу. Независимо от выбранного типа удаленного подключения, рекомендуется обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется.

В Positive Technologies предупреждают, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому ИТ-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов.

Отдельно эксперты подчеркивают угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота). Службам ИБ рекомендуется строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (например, по артефактам в трафике с помощью NTA-решений). Также в условиях изменения традиционной модели поведения сотрудников организации (массового удаленного доступа) необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак.

По данным исследования, количество уникальных кибератак выросло на 19%, а доля целенаправленных атак составила 60%, что на 5 процентных пунктов больше, чем в 2018 году. При этом зафиксирован поквартальный рост числа атак, и если в I квартале целевыми были менее половины атак (47%), то в конце года их доля составила уже 67%.

Как отмечают эксперты, рост доли целенаправленных атак обусловлен рядом причин. В первую очередь, ежегодно появляются новые группы злоумышленников, специализирующиеся на атаках класса APT (advanced persistent threat). Однако более пристальное внимание организаций к кибербезопасности позволяет более качественно детектировать активность злоумышленников. В итоге в публичном поле оказывается больше данных о подобных инцидентах.

По мнению экспертов, компании должны сместить фокус внимания с защиты периметра на возможность своевременно выявить развитие атаки внутри сети, регулярно проверять, не были ли они атакованы ранее. Учитывая рост целенаправленных атак, постоянно меняющиеся подходы преступников и усложнение используемых инструментов, ключевыми факторами в обеспечении защиты в ближайшие годы станут непрерывный мониторинг инцидентов ИБ, глубокий анализ сетевого трафика и ретроспективный анализ событий в сети.

По итогам 2019 года наиболее часто кибератакам подвергались госучреждения, промышленность, медицина, сфера науки и образования, финансовая отрасль. При этом доля атак на промышленные компании выросла до 10% против 4% в 2018 году.

Значительные изменения коснулись мотивации злоумышленников в атаках против частных лиц: как показал анализ киберугроз в 2019 году, более половины атак осуществлялись с целью хищения данных, в то время как в 2018 году аналогичный показатель составлял 30%. В целом кража информации стала главным мотивом атак — и для частных (57%), и для юридических лиц (60%). Наибольший интерес для злоумышленников в 2019 году представляли персональные данные, учетные записи и данные банковских карт.

Как показал анализ, трояны-шифровальщики стали одной из наиболее актуальных киберугроз для юридических лиц по всему миру. В 2019 году на их долю пришлось 31% заражений, а средняя сумма выплат злоумышленникам достигла нескольких сотен тысяч долларов. В конце года эксперты Positive Technologies отметили новый тренд: операторы шифровальщиков в случаях отказа платить выкуп начали шантажировать жертв публикацией данных, которые они скопировали перед тем, как зашифровать их. По данным исследования, на конец 2019 года такие кампании проводили операторы шифровальщиков Maze и Sodinokibi. Информация о том, что преступникам удалось заработать на выкупах позволяет предположить, что в 2020 году нас ожидает новая волна атак шифровальщиков, а возникшая в конце года тенденция к публикации файлов жертв, отказавшихся платить выкуп, получит развитие.

По данным исследования, среди атакуемых оказалось множество крупнейших компаний России — лидеров различных отраслей, при этом на государственные организации нацелены 68% всех рассмотренных APT-группировок. В ходе опроса 57% респондентов, работающих в государственных организациях, констатировали, что риск успешной кибератаки является критическим. При этом 45% признались, что их организация не готова противостоять целенаправленным атакам. Три четверти участников опроса, представляющих госучреждения, считают, что кража информации может стать мотивом для APT-атаки.

К информации, которая может заинтересовать киберпреступников, эксперты отнесли персональные данные сотрудников, сведения в области внешней политики и экономики, научно-исследовательские работы и финансовую отчетность.

Как следует из ответов, в государственных организациях преимущественно используются базовые средства защиты, которые не способны обнаружить и вовремя остановить сложные атаки. Так, 95% участников опроса ответили, что в госучреждении используется антивирус, и только 8% респондентов сообщили, что в организации применяются специализированные средства защиты от APT-атак.

При таком раскладе, если организация стала мишенью APT-группировки, рано или поздно злоумышленникам удастся осуществить атаку. Базовые средства защиты, которые используются в большинстве госучреждений, не спасут от целенаправленной атаки. Стремясь обойти механизмы защиты и противодействия APT-атакам, преступники кодируют и шифруют вредоносный код, используют «бесфайловый» вредоносный код, проверяют систему на наличие «песочницы» и подписывают вредоносные файлы цифровой подписью.

В исследовании также отмечается, что большинство APT-группировок начинают атаки на государственные учреждения с целенаправленного фишинга. При этом на первоначальном этапе обнаружить злоумышленников практически невозможно, так как они прекрасно знают какие средства защиты используются в организации и как их можно обойти. Почти единственным методом является обнаружение злоумышленников на этапе горизонтального перемещения и закрепления при наличии в инфраструктуре средств глубокого анализа трафика, мониторинга событий ИБ и возможности ретроспективного поиска индикаторов компрометации.

Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег. Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. По их данным, 75% банков уязвимы к фишинговым атакам. Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная APT-группировка, замеченная в атаках на кредитно-финансовую сферу.

Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. Этим и объясняется большое количество используемых техник для обхода средств защиты. Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде. Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании. Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы.

По статистике, в течение нескольких дней, а иногда и недель, злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе, могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.

Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, а 34% признали, что организация понесла прямые финансовые потери.

Специалисты Positive Technologies назвали основные угрозы для современных веб-ресурсов. Анализ производился на основании статистики атак на веб-приложения, выявленных с помощью межсетевого экрана уровня приложений Positive Technologies Application Firewall.

В рамках исследования было проанализировано более миллиона атак. Для отчета эксперты выделили 140 тыс. атак, которые были нацелены на конкретные сайты и сложились в цепочки атак. Такие цепочки позволили выявить последовательные шаги нарушителей.

По данным исследования, в тройку самых распространенных атак вошли наиболее простые и эффективные — «Внедрение SQL-кода», «Выход за пределы каталога» и «Межсайтовое выполнение сценариев». Однако эксперты отметили ряд особенностей, присущих конкретным отраслям.

Так, вдвое увеличилась доля атак, направленных на получение информации о веб-приложении (Information Leakage). Особенно это заметно в случае госучреждений, где доля подобных атак составила 67% из всех зарегистрированных. Такие атаки злоумышленники применяют на этапе анализа систем с целью определить их версии и конфигурацию, получить доступ к служебной информации. Завладев этой информацией, атакующие могут проводить таргетированные атаки.

При этом, отмечают эксперты, сайты госучреждений по-прежнему подвержены опасным атакам, направленным на получение контроля над сервером и информации из баз данных. Это подразумевает контроль над атакуемым сайтом, доступ к операционной системе, а значит, ко всем файлам на сервере.

Как утверждают эксперты, все сайты из любой отрасли ежедневно подвергаются кибератакам. Если атака целенаправленная, то отдельные ее шаги можно сопоставить и сложить в единую цепочку. По данным отчета, наибольшее число цепочек атак на одно приложение в день фиксировалось на сайтах финансовых организаций (151 цепочка).

На втором месте по количеству цепочек атак после финансовых организаций расположились отечественные транспортные компании (135 цепочек атак в день), веб-ресурсы которых предоставляют сервисы оплаты, например для покупки билетов. Такие сайты привлекают злоумышленников, которые рассчитывают заполучить данные банковских карт клиентов.

Организации из сферы услуг замыкают тройку отраслей с самыми атакуемыми веб-ресурсами по результатам отчета (114 цепочек атак в день). Здесь размещается привлекательная для киберпреступников персональная информация клиентов, а также платежные данные.

Все чаще целью атаки становятся данные клиентов — персональные, платежные. Большинство атак 2018 года (42%) совершалось именно с целью получения данных. Также наблюдаются атаки, направленные на заражение сайта вредоносным ПО, что позволяет злоумышленникам охватить большее число жертв, нежели единичные атаки, а также использовать уязвимые веб-ресурсы в целевых атаках.

По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако, как считают эксперты, эта разница несущественна, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков.

Самой распространенной уязвимостью эксперты назвали небезопасное хранение данных, которое встречается в 76% мобильных приложений: в руках хакеров могут оказаться пароли, финансовая информация, персональные данные и личная переписка.

Для кражи данных злоумышленникам редко нужен физический доступ к смартфону жертвы: 89% обнаруженных уязвимостей могут быть задействованы с использованием вредоносного ПО. Вероятность заражения увеличивается в разы на устройствах с административными привилегиями (root или jailbreak). Но вредоносное ПО может и повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам.

Как показали результаты исследования, серверные части не менее уязвимы, чем клиентские: 43% имеют низкий или крайне низкий уровень защищенности, при этом 33% содержат критически опасные уязвимости. Среди самых распространенных недостатков высокого уровня риска в серверных частях – недостаточная авторизация и утечка информации.

Специалисты подчеркивают, что фишинговые рассылки — эффективный способ проникновения во внутреннюю сеть компании: сегодня к нему прибегают 90% группировок. Исследование показало, что каждая вторая действующая APT-группировка после проникновения во внутреннюю сеть использует легитимные инструменты для администрирования и коммерческие инструменты для тестов на проникновение. Стоимость коммерческих инструментов варьируется от 8 до 40 тыс. долл. Общая стоимость инструментов для создания вредоносных вложений без учета стоимости эксплойтов для уязвимостей нулевого дня составляет порядка 2 тыс. долл.

В начале 2019 года было зафиксировано возобновление активных действий со стороны финансово мотивированной группировки Silence. В ходе атак она использует как общедоступное ПО из состава Sysinternals Suite, так и ряд уникальных самописных инструментов. Кстати, средняя стоимость готового ПО для банкоматов составляет около 5 тыс. долл. — это самый дорогой тип вредоносного ПО в дарквебе. Проанализировав теневой рынок киберуслуг, эксперты Positive Technologies пришли к выводу, что стартовая цена набора инструментов финансово мотивированной группировки может составить 55 тыс. долл. При этом средний ущерб от успешной атаки составляет 288 тыс. долл.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, инструменты, используемые хакерами при проведении атак, могут зависеть от мотивов киберпреступников. По оценкам аналитиков, 48% действующих сегодня группировок используют инструменты для тестирования на проникновение. Это тренд 2018 года, который распространяется и на нынешний год.

Анализируя актуальные киберугрозы в течение I квартала 2019 года, эксперты отметили, что доля целенаправленных атак снизилась по сравнению с IV кварталом 2018 года и составила 47%. Это связано с увеличением количества атак, которые не привязаны к конкретной отрасли: в основном речь идет о массовых вредоносных кампаниях. Более половины хакерских атак совершались с целью хищения информации. При этом злоумышленники заинтересованы в самых разнообразных данных – от личной переписки до коммерческой тайны.

В течение 2018 года эксперты зафиксировали на 27% больше уникальных инцидентов, чем годом ранее. Пики активности наблюдались в феврале, мае, июле и в конце года, что, по мнению авторов исследования, связано со всплесками атак злоумышленников в преддверии и во время крупных спортивных соревнований (зимних Олимпийских игр и чемпионата мира по футболу), а также с предновогодним периодом, когда финансовая активность и организаций, и частных лиц повышается.

Продолжает расти доля атак, направленных на кражу информации (42%). При этом такие атаки зачастую содержат финансовый подтекст: украденные данные затем используются для кражи денег, шантажа или размещаются для продажи на теневом рынке. Злоумышленники похищают преимущественно персональные данные (30%), учетные данные (24%) и данные платежных карт (14%). В 19% инцидентов жертвами хакеров стали государственные учреждения, в 11% случаев пострадали медицинские, а в 10% — финансовые организации. Чаще всего злоумышленники атаковали инфраструктуру (49%) и веб-ресурсы (26%) компаний.

В отличие от прошлого года, 55% составили целенаправленные атаки; их доля постепенно увеличивалась из квартала в квартал. Все большее число преступников переносят свою деятельность из реального мира в цифровой и выбирают целевые атаки, чтобы успешно монетизировать эту деятельность и легче достигать своих целей.

Количество уведомлений об утечках персональных данных продолжает расти. Специалисты объясняют это введением в действие GDPR — законодательного акта, устанавливающего правила защиты персональных данных граждан ЕС. Компании, которые ранее умалчивали об инцидентах, после известий о первых штрафах и предупреждениях станут, вероятно, охотнее уведомлять клиентов о кибератаках, заключают аналитики Positive Technologies.

48% атак были направлены на получение данных. Интересно, что в ходе половины из них злоумышленники использовали вредоносное ПО. В первую очередь (это 28% атак) преступников интересовали учетные данные (логины, пароли) для доступа к различным сервисам и системам, в том числе к электронной почте сотрудников компаний.

Продолжила расти доля целенаправленных атак: она составила 62%. Эксперты отмечают, что злоумышленники все чаще используют «индивидуальный подход» для атак на организации, а частные лица страдают от масштабных заражений вредоносным ПО. Треть атак на частных лиц была нацелена на получение данных. Наибольший интерес для злоумышленников представляют учетные данные – в 60% случаев крадут именно их. Доля инцидентов, принесших преступникам прямую финансовую выгоду, выросла на 6% по сравнению с прошлым кварталом.

Социальная инженерия использовалась в каждой третьей атаке. Фишинг в адрес сотрудников компании-жертвы стал уже отработанной схемой злоумышленников в рамках целенаправленных атак. Так, в ноябре специалисты Positive Technologies обнаружили вредоносное вложение в электронных письмах, которое позволяло злоумышленнику захватывать изображение с веб-камер, записывать звук, делать скриншоты экрана, копировать файлы с медиаустройств. Преступники ловко привлекали внимание адресатов броской темой письма и размытым изображением открывающегося файла, на котором проглядывал герб — так что документ должен был вызывать доверие и желание с ним ознакомиться. Пока жертва видела на экране документ-заглушку, на компьютере незаметно для пользователя устанавливалось ВПО для удаленного управления Treasure Hunter, которое собирало информацию о системе, отправляло ее на удаленный командный сервер и принимало команды с него.