Отчет: 93% локальных сетей компаний уязвимы для кибератак
Опасный рост атак программ-вымогателей в прошлом году привел к разрушительным компрометациям государственных организаций, критически важной инфраструктуры и предприятий. Большая часть этого роста связана с тем, что киберпреступники становятся все более инновационными и смелыми в своем подходе.
Отчет Positive Technologies, опубликованный в конце прошлого месяца, показал, что киберпреступники могут проникнуть в 93 % локальных сетей компаний и инициировать 71 % событий, которые считаются "неприемлемыми" для их бизнеса.
Киберпреступникам требуется в среднем два дня, чтобы проникнуть во внутреннюю сеть компании. Исследователи обнаружили, что все проанализированные компании были уязвимы для злоумышленника, получающего полный контроль над инфраструктурой после проникновения в сеть.
Изучены результаты тестирования с участием финансовых организаций (29%), топливно-энергетических организаций (18%), государственных (16%), промышленных (16%), IТ-компаний (13%) и других секторов.
18 января Bugcrowd опубликовала свой ежегодный отчет Priority One, в котором говорится о 185-процентном увеличении числа уязвимостей с высоким уровнем риска в финансовом секторе. Это также выявило увеличение количества программ-вымогателей и переосмысление цепочек поставок, что приводит к более сложным уровням атак во время пандемии.
Программы-вымогатели вышли из-под контроля
В конце 2021 года программы-вымогатели превзошли утечку персональных данных и стали главной угрозой, которая доминировала в новостях о кибербезопасности во всем мире. Глобальные блокировки и удаленная работа вызвали спешку с размещением большего количества активов в сети, что привело к увеличению уязвимостей.
Эти отчеты показывают, что все компании и организации в настоящее время более подвержены взлому и должны удвоить усилия по киберзащите в долгосрочной перспективе. Цели также включают отдельных потребителей.
Программа-вымогатель является серьезной проблемой для всех. Атаки этих программ могут серьезно нарушить повседневную жизнь, так как их целями все чаще становятся объекты критически важной инфраструтуры, такие как больницы, газопроводы, школы или другие предприятия, предупредила Тереза Пэйтон, бывший директор по информационным технологиям Белого дома и нынешний генеральный директор консалтинговой фирмы по кибербезопасности Fortalice Solutions.
"Синдикаты программ-вымогателей не имеют границ и атакуют наши личные системы и устройства ", - сказала она в интервью.
Другой пример
Согласно блогу Cisco Talos от 12 января, хакеры покупают пространство у крупных облачных провайдеров для распространения вредоносных программ Nanocore, Netwire и AsyncRAT.
Злоумышленник в данном случае использует облачные сервисы для развертывания и доставки вариантов обычных угроз удаленного доступа (RAT). Эти развертывания содержат возможность кражи информации, начиная примерно с 26 октября 2021 года.
По словам Cisco Talos, такие вредоносные программы оснащены множеством функций для контроля над средой жертвы, удаленного выполнения произвольных команд и кражи информации. Первоначальный вектор заражения - фишинговое письмо с вредоносным ZIP-вложением.
Эти архивные файлы ZIP содержат образ ISO с вредоносным загрузчиком в виде JavaScript, пакетного файла Windows или скрипта Visual Basic. Когда первоначальный сценарий выполняется на компьютере жертвы, он подключается к серверу для загрузки следующего этапа, который может быть размещен на сервере Windows в облаке Azure или экземпляре AWS EC2.
Чтобы доставить полезную нагрузку вредоносного ПО, злоумышленник регистрирует несколько вредоносных поддоменов с помощью DuckDNS, бесплатной службы динамического DNS.
Исследователи стали хакерами
При оценке защищенности от внешних атак специалисты Positive Technologies в 93 % случаев нарушали периметр сети. Этот показатель остается высоким на протяжении многих лет, подтверждая, что преступники способны взломать практически любую корпоративную инфраструктуру, считают исследователи компании.
"В 20 % наших проектов пентестинга (тестирования на проникновение) клиенты просили нас проверить, какие неприемлемые события могут быть возможны в результате кибератаки. Каждая из этих организаций выявила в среднем по шесть неприемлемых событий, и наши пентестеры приступили к их инициированию", - рассказала Екатерина Килюшева, руководитель отдела исследований и аналитики Positive Technologies.
По ее словам, наибольшую опасность, по мнению клиентов Positive, представляют события, связанные с нарушением технологических процессов и оказания услуг, плюс хищение средств и важной информации. Всего пентестеры Positive Technologies подтвердили осуществимость 71% этих неприемлемых событий.
"Наши исследователи также установили, что преступнику потребуется не более месяца для проведения атаки, которая приведет к запуску недопустимого события. В то же время атаки на некоторые системы могут быть разработаны за считанные дни", - добавила Килюшева.
Путь злоумышленника из внешних сетей к целевым системам начинается с нарушения сетевого периметра. Чтобы проникнуть во внутреннюю сеть компании, требуется два дня.
Компрометация учетных данных - основной способ проникновения преступников в корпоративную сеть большинства компаний. Согласно отчету Positive, такое большое число связано главным образом с тем, что используются простые пароли, в том числе для учетных записей, используемых для системного администрирования.
Что касается атак на финансовые организации, то они считаются одними из самых защищенных компаний, в рамках проверки неприемлемых событий в каждом из проверенных банков, отметила Килюшева.
"Нашим специалистам удалось совершить действия, которые могли позволить злоумышленникам нарушить бизнес-процессы банка и повлиять на качество предоставляемых услуг. Например, они получили доступ к системе управления банкоматом, что могло позволить злоумышленникам похитить средства", - пояснила эксперт.
Ключевые тенденции кибербезопасности
В отчете Bugcrowd Priority One освещаются ключевые тенденции кибербезопасности за последний год. К ним относятся рост внедрения краудсорсинговой безопасности из-за глобального перехода к гибридным и удаленным моделям работы и связанной с этим быстрой цифровой трансформации.
В отчете показано, что стратегическая направленность многих организаций в разных отраслях сместилась, и теперь акцент делается на погашение остаточного долга по ценным бумагам, связанного с этой трансформацией.
До сих пор высокотехнологичные маневры и секретные операции определяли стратегии атак. Но в прошлом году этот подход начал меняться в сторону более распространенных тактик, таких как атаки на известные уязвимости.
По словам Bugcrowd, дипломатические нормы в отношении хакерских атак ослабли до такой степени, что злоумышленники из национальных государств теперь меньше озабочены скрытностью, чем ранее.
Основные моменты отчета Priority One за 2022 г. включают:
- Межсайтовый скриптинг был наиболее часто выявляемым типом уязвимости.
- Раскрытие конфиденциальных данных переместилось с девятого на третье место в списке 10 наиболее часто выявляемых типов уязвимостей.
- Программы-вымогатели стали популярным видом атак, и правительства многих стран отреагировали на это.
- Цепочки поставок стали основным уровнем атак.
- Тестирование на проникновение переживает ренессанс.
По словам Кейси Эллис, основателя и главного технического директора Bugcrowd, развивающаяся экономика программ-вымогателей и продолжающееся стирание границ между государственными субъектами и организациями, занимающимися электронными преступлениями, меняют ландшафт киберугроз.
Платить или не платить выкуп?
Кибер-эксперты и некоторые правительства продвигали идею "не платить выкуп". Это все еще действующая стратегия, хотя не все правительственные чиновники и киберэксперты согласны с ней.
Неуплата выкупа должна стать глобальной целью для сдерживания киберпреступных синдикатов. По словам Пэйтон, жертвы часто не хотят платить выкуп. Тем не менее, их компании по страхованию кибер-ответственности могут посчитать, что платить вымогателям дешевле, чем платить за восстановление заблокированных данных. Это проблематично.
"Если кто-то платит, я не осуждаю эту организацию, но зачастую уплата выкупа не решает проблему. При рассмотрении вопроса об оплате, жертва кибератаки должн а знать, что платежи, которые в среднем составляют 170 000 долларов (согласно исследованию Sophos), не гарантируют полного восстановления данных", - говорит Пэйтон.
Sophos также обнаружила, что 29% пострадавших компаний не смогли восстановить даже половину своих зашифрованных данных, и только 8% удалось восстановить данные полностью.
Исторически сложилось так, что программы-вымогатели были нацелены на организации с критически важными данными, а не на отдельных лиц. Но, по словам Лизы Франкович, генерального директора компании по управлению сетями Uplogix, если вы когда-либо теряли данные из-за отказа старого жесткого диска, то знаете что такое "боль" от атаки программ-вымогателей.
По ее словам, гораздо лучше использовать передовые методы обеспечения безопасности, такие как двухфакторная аутентификация, менеджеры паролей и шифрование, чем определять, следует ли вам платить выкуп или нет.
Влияние на конечных пользователей
Франкович отметила, что самая большая угроза, которую кибератаки представляют как для бизнеса, так и для единичных пользователей, - это простои. Независимо от того, была ли взломана сеть или украдены личные данные, сбои и простои могут быть катастрофическими.
"По оценкам Gartner, средняя стоимость отключения сети составляет более 300 000 долларов в час, - говорит эксперт.
Что касается безопасности корпоративных сетей, то Агентство национальной безопасности США (АНБ) опубликовало рекомендации по использованию внеполосного управления для создания структуры, повышающей безопасность сети за счет отделения трафика управления от рабочего трафика.
Франкович пояснила, что обеспечение того, чтобы управляющий трафик исходил только из внеполосного канала связи необходимо, чтобы скомпрометированные пользовательские устройства или вредоносный сетевой трафик не могли повлиять на работу сети и компрометировать сетевую инфраструктуру.
Белый дом Доллар Правительство США