Хакеры усилили атаки на медицинские учреждения
По данным экспертов Positive Technologies, в третьем квартале количество атак на медицинские учреждения выросло вчетверо в годовом сопоставлении. Это связано с повышенным интересом киберпреступников к медицинским организациям, которые сейчас находятся на передовой в борьбе с коронавирусной инфекцией. Половина атак были совершены операторами шифровальщиков. Помимо учреждений, оказывающих непосредственную помощь больным Covid-19, атакам подвергаются и исследовательские центры, которые занимаются разработкой вакцины. Основной целью злоумышленников является информация о последних наработках и результатах апробации.
Растет и количество атак на промышленность. Если за весь 2019 г. специалисты Positive Technologies зафиксировали 125 подобных инцидентов, то в 2020 г. только за первые три квартала их число уже превысило 170. Индустриальные компании в основном подвергались атакам со стороны шифровальщиков и APT-группировок, таких как Maze, Sodinokibi, Netwalker, Nefilim, DoppelPaymer, Snake, RansomEXX, Conti. В третьей четверти доля атак с использованием шифровальщиков составила 43% от общего числа. При этом начальным вектором проникновения в атаках на промышленность чаще всего были фишинговые письма, либо уязвимости на сетевом периметре.
Согласно отчету Microsoft Digital Defense Report, растет число атак на интернет вещей: в первом полугодии оно увеличилось на 35% в годовом сопоставлении. Рост продолжится, так как 71% устройств IoT используют неподдерживаемые версии ОС, не получающие обновлений безопасности, 64% хранят пароли в незащищенном виде. Кроме того, промышленные компании фиксируют рост атак на цепочки поставок.
Также наблюдается тенденция к увеличению числа атак, в которых вредоносное ПО распространяется путем эксплуатации уязвимостей на ресурсах сетевого периметра. Если в первом квартале 12% атак осуществлялись с помощью компрометации серверов, ПК и сетевого оборудования (и 81% посредством электронной почты), то в третьем квартале доля атак, связанных с уязвимостями сетевого периметра, выросла почти втрое, до 31%. Рост доли хакинга объясняется повсеместным переходом на удаленный режим работы и быстрым изменением состава сервисов на сетевом периметре многих организаций. В первую очередь злоумышленники эксплуатируют известные уязвимости в решениях для удаленного доступа, ищут уязвимости в веб-приложениях, подбирают пароли для доступа по RDP.
Тем не менее специалисты Microsoft отмечают также продолжающийся рост фишинговых атак. Последние несколько лет для сбора учетных данных киберпреступники в основном использовали вредоносное ПО. В этом году наблюдается смещение фокуса злоумышленников на фишинговые атаки (около 70%) как на более прямое средство достижения цели. Чтобы обманом заставить людей предоставить свои учетные данные, злоумышленники направляют им электронные письма, имитирующие рассылки известных брендов. При этом фишинговые письма становятся все более продуманными, эксплуатируют тревожность людей и их потребность в информации: темы писем коррелируют с актуальными новостями на тему пандемии. За год компания Microsoft заблокировала более 13 млрд вредоносных и подозрительных писем, из которых свыше 1 млрд включали URL-адреса, активирующие запуск фишинг-атак, нацеленных на получение учетных данных.
Тренд на постоянное увеличение числа атак шифровальщиков отмечают эксперты обеих компаний. По информации Positive Technologies, если в первом квартале доля шифровальщиков в атаках на организации с использованием вредоносного ПО составляла 34%, то в третьем квартале она достигла 51%. Доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации в третьем квартале выросла до 30% (в первом квартале было 9%). Киберпреступники преследовали самые разные цели - от установки майнеров до кибершпионажа в сетях крупных компаний. На протяжении последнего времени злоумышленники активно эксплуатируют уязвимости в VPN-решениях и системах для организации удаленного доступа, в частности в продуктах Pulse Secure, Fortinet, Palo Alto и Citrix.
По данным Microsoft, с октября 2019 г. по июль 2020 г. программы-вымогатели были наиболее частой причиной инцидентов ИБ, на которые приходилось реагировать специалистам по безопасности. Модели атак показывают, что киберпреступники тщательно выбирают дату осуществления атаки - например, в праздничные дни или в конце финансового квартала, когда организациям сложнее оперативно отреагировать на вторжение. Сократилось время пребывания в системе жертвы, в некоторых случаях киберпреступники прошли путь от первоначального входа в систему до компрометации всей сети менее чем за 45 минут.
Эксперты Positive Technologies отмечают, что с операторами вирусов-шифровальщиков все чаще сотрудничают APT-группировки - для получения максимального дохода. Если похищенная информация не приносит APT-группировке ожидаемой прибыли, работу компании пытаются нарушить ради получения выкупа.
В числе других интересных методов атакующих, которые отмечает Positive Technologies - постоянная модернизация загрузчиков вредоносного ПО (например, группировка APT28 ежемесячно вносит простейшие изменения в свои загрузчики, чтобы более эффективно обходить средства защиты) и компрометация корпоративных сетей с использованием фишинга через соцсети (так действует северокорейская группа Lazarus).