Войти в профиль iXBT.com
Можно ввести логин и пароль от конференции
Забыли пароль?
Войти или зарегистрироваться через соцсеть

Отчет HP об угрозах кибербезопасности: хакеры объединяются для усиления эффекта своих атак

Компания HP Inc. опубликовала результаты своего глобального исследования Threat Insights Report за первое полугодие 2021 г., содержащие анализ произошедших атак и используемых уязвимостей в сфере кибербезопасности. Полученные данные указывают на значительный рост в количестве и изобретательности киберпреступлений в период со второй половины 2020 года по первую половину 2021 года. Также злоумышленники стали на 65% чаще использовать хакерские инструменты, загружаемые с теневых форумов и файлообменников. 

Кибераналитики отметили, что активно применяемые хакерами инструменты оказались на удивление эффективными. Например, один из таких инструментов позволял обходить защиту CAPTCHA при помощи технологий компьютерного зрения, а именно оптического распознавания символов (OCR), что позволяло злоумышленникам выполнять атаки на веб-сайты c заполнением учетных данных пользователей. Отчет показал, что киберпреступность приобрела еще более организованный характер, в том числе благодаря даркнет-ресурсам, которые выступают идеальной платформой для злоумышленников, где они могут налаживать сотрудничество друг с другом, обмениваться идеями о тактиках, методах и процедурах для осуществления атак. 

«Распространение пиратских инструментов для взлома и рост популярности даркнет-форумов позволяют даже мелким, рядовым злоумышленникам создавать серьезные риски для безопасности предприятий, – отмечает доктор Йэн Пратт (Dr. Ian Pratt), глава отдела безопасности в подразделении персональных систем, HP Inc. – В то же время рядовые пользователи снова и снова становятся жертвами даже простых фишинговых атак. И сейчас технологии безопасности, позволяющие ИТ-отделам работать на опережение и прогнозировать будущие угрозы, являются ключом к обеспечению максимальной защиты и устойчивости бизнеса». 

Среди наиболее заметных угроз, выявленных исследовательской группой HP Wolf Security, можно отметить следующие: 

  • Взаимодействие киберпреступников открывает возможности для более масштабных атак: группировки, использующие банковский троян Dridex, продают доступ к взломанной инфраструктуре организаций другим злоумышленникам, чтобы те могли распространять программы-вымогатели. Снижение активности трояна Emotet в первом квартале 2021 года привело к тому, что Dridex стал основным семейством вредоносных программ, выделенных HP Wolf Security. 
  • Злоумышленники, специализирующиеся на хищении информации, используют все более опасные вредоносные программы: «инфостилер» CryptBot, исторически используемое для кражи учетных данных из крипто-кошельков и веб-браузеров – теперь применяется также для внедрения DanaBot – банковского трояна, управляемого организованными преступными группировками. 
  • Атаки с использованием VBS-загрузчика, нацеленные на руководителей компаний: речь идет о многоэтапной кампании с использованием Visual Basic Script (VBS), когда пользователям рассылаются вложения с вредоносным ZIP архивом, название которого совпадает с именем руководителя предприятия. При открытии архива на компьютер жертвы устанавливается скрытый VBS-загрузчик – и реализуется LotL-атака (Live off the Land), используя уже инсталлированные легитимные инструменты администратора для распространения вредоносного ПО и сохранения на устройствах.
  • От приложения до проникновения: атака, использующая распространение вредоносного спама под видом резюме и нацеленная на судоходные, морские, логистические и связанные с ними компании в семи странах мира (Чили, Япония, Великобритания, Пакистан, США, Италия и Филиппины). В атаке задействована уязвимость Microsoft Office для развертывания популярных решений удаленного управления и мониторинга (Remcos RAT) и получения доступа к зараженным компьютерам через бэкдор. 

Все эти выводы были основаны на данных, полученных группой исследования угроз HP Wolf Security, которые отслеживают вредоносные программы на изолированных микровиртуальных машинах для лучшего понимания и фиксирования всей цепочки распространения, тем самым помогая компаниям бороться с угрозами. Лучше понимая поведение вредоносных программ в реальных условиях, аналитики и инженеры HP Wolf Security могут усилить защиту конечных устройств и повысить общую отказоустойчивость систем. 

«Экосистема киберпреступности продолжает развиваться и трансформироваться, предлагая мелким киберпреступникам еще больше возможностей для взаимодействия с более серьезными игроками и хакерскими командами, а также для загрузки передовых инструментов, способных обойти действующие системы защиты от взлома, – отмечает Алекс Холланд, (Alex Holland) старший аналитик по вредоносному ПО в HP Inc. – Мы видим, что хакеры адаптируют свои методы для улучшения монетизации, продавая доступ к уязвимым системам организованным преступным группам, чтобы те могли проводить более изощренные атаки на предприятия. Штаммы вредоносных программ, таких как CryptBot, ранее представлявших опасность только для пользователей, хранивших на своих ПК криптокошельки, теперь представляют угрозу и для бизнеса. Мы видим, что хакеры распространяют вредоносное ПО, управляемое организованными преступными группировками, которые, как правило, предпочитают использовать вирусы-вымогатели для монетизации полученного доступа». 

Среди других выводов исследования можно выделить следующие: 

  • 75% обнаруженных вредоносных программ попали на компьютеры жертв через электронную почту, а 25% были загружены из сети Интернет. Количество угроз, проникающих в систему с помощью веб-браузеров, выросло на 24%, частично за счет загрузки пользователями инструментов взлома, а также программного обеспечения для майнинга криптовалют. 
  • Наиболее распространенными фишинговыми приманками, отправляемыми по электронной почте, были счета-фактуры и информация о бизнес-транзакциях (49%), еще 15% случаев – это ответы на перехваченную переписку. Фишинговые приманки с упоминанием COVID-19 составили менее 1%, снизившись на 77% за период со второго полугодия 2020 года по первое полугодие 2021 года. 
  • Самыми распространенными типами вредоносных вложений стали архивные файлы (29%), электронные таблицы (23%), документы (19%) и исполняемые файлы (19%). Необычные типы архивных файлов, такие как JAR (файлы архивов Java), применяются злоумышленниками, чтобы уйти от обнаружения и сканирования соответствующими инструментами, и установить на компьютеры жертв вредоносное ПО, которое можно легко найти на даркнет-маркетплейсах. 
  • Отчет показал, что 34% обнаруженного вредоносного ПО было неизвестно аналитикам, что на 4% меньше, чем во втором полугодии 2020 г. 
  • На 24% увеличилось количество вредоносных программ, в основе которых лежит CVE-2017-11882, широко эксплуатируемая уязвимость Microsoft Office / Microsoft WordPad, приводящая к нарушению целостности памяти и проведению бесфайловых атак. 

«Киберпреступники с легкостью обходят средства обнаружения, просто оптимизируя и совершенствуя свои методы. Мы увидели всплеск вредоносных программ, распространяемых через необычные типы файлов, такие как файлы JAR, которые, очевидно, используются злоумышленниками, чтобы снизить шанс обнаружения вредоносного кода сканерами безопасности и инструментами для защиты от вредоносных программ, – комментирует Алекс Холланд, (Alex Holland). – Жертвы попадаются и на уже знакомые фишинговые атаки, с приманками на тему транзакций, убеждающих пользователей нажимать на вредоносные вложения, ссылки и веб-страницы». 

В свою очередь, доктор Йэн Пратт (Dr. Ian Pratt) добавляет: «На фоне того, как киберпреступность становится более организованной, и мелкие игроки могут легко получать эффективные хакерские инструменты и монетизировать атаки, продавая доступ к скомпрометированным системам, не существует такой вещи, как незначительная утечка. Конечные устройства остаются в центре внимания киберпреступников. Их методы становятся все более изощренными, поэтому сегодня как никогда важно сформировать комплексную и устойчивую инфраструктуру клиентских устройств и средств обеспечения безопасности. Это означает использование таких методов, как средства изоляции угроз для защиты от современных приемов злоумышленников, а также минимизацию поверхности атаки за счет устранения угроз по наиболее распространенным векторам атак – по электронной почте, через браузеры и загрузки». 

Подробнее об использованных данных

Данные для исследования были собраны специалистами HP Wolf Security с виртуальных машин заказчиков в период с января по июнь 2021 года. 

Отмена

Сейчас на главной

Публикации

Автоматическая аналитика и оптимизация государственных предприятий

Внедрить эффективные программы исследования данных непросто. Ведущие эксперты отрасли поделятся с нами стратегиями внедрения эффективных методологий исследования данных, которые помогут повысить продуктивность организации.

Polymatica: российский Business Intelligence

Сегодняшнее мероприятие ведет Алексей Претихин, менеджер по работе с клиентами компании Polimatica, он расскажет о преимуществах продуктов Polimatica по сравнению с конкурентами, про лицензионную политику, про партнерскую программу, в том числе и про защиту партнеров, о дополнительных сервисах, на которых партнер может заработать.

Автоматизируем работу отдела ИБ АСУ ТП: инструменты и средства

Чем дальше субъекты КИИ продвигаются в деле создания или обновления своих систем ИБ АСУ ТП, руководствуясь 187-ФЗ, тем острее звучит вопрос – «КАК?». Как грамотно выстроить систему кибербезопаности своего предприятия в условиях ужесточающейся нехватки штата. Автоматизацией рутинных задач ИБ АСУ ТП – казалось бы очевидный ответ. Но практика показывает, что понимание, какими инструментами и средствами добиться эффективной автоматизации, зачастую отсутствует.

Мониторинг технологических процессов с использованием ИИ

Сегодня мероприятие OCS Distribution и Polymatica с Gelarm рассматривает возможности применения искусственного интеллекта в мониторинге технологических процессов. На мероприятии представлены отечественные программные решения: • аналитическая платформа Polymatica BI для обработки данных с использованием алгоритмов интеллектуального анализа и машинного обучения, • система управления обработкой информации GIMS Automation для настройки API, сценариев обработки информации.

«Сайбер Электро» – новый бренд на рынке российских ИБП

Сегодня Максим Жигаленков, директор по работе с партнерами компании «Сайбер Электро», познакомит с новым брендом российских ИБП – «Сайбер Электро». Здесь мы говорим об импортозамещении, расскажем о складских моделях ИБП под брендом «Сайбер Электро», поделимся планами на 2022 год. В программе мероприятия – сервисная политика, условия сотрудничества и дополнительные возможности для роста и развития вашего бизнеса