Компания Fortinet объявила результаты своего очередного ежеквартального исследования глобальных угроз Global Threat Landscape Report. Исследование показало, что киберпреступники продолжают искать новые возможности для осуществления атак по всей поверхности цифровых структур используют тактики обхода, а также методы противодействия анализу, которые делают их атаки еще более изощренными. Индекс угроз Threat Landscape Index в этом квартале обновил свой исторический максимум и увеличился почти на 4% от изначального значения по сравнению с прошлым годом. Высокий балл за этот промежуток стал пиковым значением и был зафиксирован на момент закрытия второго квартала 2019 года. Увеличение этого показателя обусловлено ростом активности вредоносных программ и эксплойтов.

Фил Квэйд (Phil Quade), директор по информационной безопасности в Fortinet, отметил: «Постоянно расширяющееся разнообразие и изощренность методов атак, которые используют сегодня злоумышленники, напоминают нам о том, что киберпреступники всегда стараются использовать скорость и улучшающиеся возможности подключения в своих интересах. Поэтому при организации защиты важно следовать тем же принципам и постоянно расставлять приоритеты в этих важных аспектах кибербезопасности — таким образом организация сможет эффективнее управлять киберугрозами и минимизировать киберриски. Но чтобы работа по этим ключевым аспектам безопасности приносила свои плоды, организациям важно использовать в отношении каждого элемента своей инфраструктуры безопасности комплексный платформенный подход, который включает в себя сегментацию и интеграцию, действенный анализ угроз и автоматизацию в сочетании с машинным обучением».

Многие современные вредоносные инструменты уже включают в себя функции для обхода антивирусов или уклонения от других инструментов для обнаружения угроз, при этом, стараясь избежать обнаружения, злоумышленники становятся все более изощренными в своих методах запутывания и противодействия анализу.

Например, недавняя спам-кампания показывает, как злоумышленники используют и модернизируют эти методы противодействия защите. Кампания включает в себя создание фишинговых писем с вложениями, которые по сути являются зараженными Excel документами с вредоносным макросом. Этот макрос способен отключать инструменты безопасности и выполнять произвольные команды, вызывая проблемы с памятью, при этом макрос работает только на компьютерах японских пользователей. Кроме того, одним из свойств, которые в частности использует этот макрос, является незадокументированное свойство xlDate.

Другой пример включает в себя вариант банковского троянcкого вируса Dridex, который изменяет имена и хэши файлов при каждом входе жертвы в систему, что затрудняет обнаружение вредоносного ПО на зараженных хост-системах.

Растущая популярность методов противодействия анализу и все новые тактики обхода служат напоминанием о необходимости многоуровневого подхода к защите и об актуальности средств обнаружения, основанных на анализе поведения.

Вредоносная программа Zegost, созданная для хищения данных, стала ключевым элементом целенаправленной фишинговоой кампании с применением не совсем обычных методов. Как и у других программ, похищающих данные пользователей, основная цель Zegost заключается в сборе информации об устройстве жертвы и доставке этой информации злоумышленнику. При этом в отличие от других подобных программ, Zegost сконфигурирован таким образом, чтобы оставаться незамеченным. Например, Zegost использует функции для очистки журналов событий. Такие возможности доо сих пор не наблюдались в обычных вредоносных программах. Еще одной любопытной особенностью в Zegost стали его способности обхода защиты, и, в частности, команда, позволяющая этой вредоносной программе оставаться в состоянии покоя до 14 февраля 2014 года, после чего запускался основной вредоносный код.

Злоумышленники, создавшие Zegost, используют весь арсенал эксплойтов, чтобы устанавливать и поддерживать соединение с системами жертв, что делает эту угрозу намного более долгосрочной по сравнению с другими угрозами, представленными сегодня.

Атаки, нацеленные сразу на несколько городов, на местные органы власти и образовательные учреждения служат напоминанием о том, что программы-вымогатели никуда не уходят и по-прежнему продолжают представлять серьезную угрозу для многих организаций. Атаки с использованием программ-вымогателей продолжают меняться и теперь уже не носят тот массовый, приспособленческий характер, но все чаще нацелены на конкретные организации, которые по, мнению злоумышленников, в состоянии заплатить выкуп, или для которых выкуп станет более удобным и эффективным решением проблемы. В некоторых случаях киберпреступники провели значительную работу по зондированию почвы, и только затем начали разворачивать свои программы-вымогатели на тщательно отобранных системах, чтобы максимально использовать возможности.

Например, программа-вымогатель RobbinHood предназначена для атаки на сетевую инфраструктуру организации и способна отключать сервисы Windows, предотвращающие шифрование данных, а также отключать сетевые ресурсы.

Еще одна более свежая программа-вымогатель под названием Sodinokibi способна стать новой угрозой для организаций. Функционально она не очень отличается от большинства инструментов вымогателей. Основная ее изюминка заключается в векторе атаки, который использует более новую уязвимость, которая допускает выполнение произвольного кода и не требует какого-либо взаимодействия с пользователем, как другие вымогатели, доставляемые вместе с фишинговой электронной почтой.

Независимо от вектора атаки, программы-вымогатели по-прежнему представляют серьезную угрозу для организаций, выступая напоминанием о необходимости установки обновлений безопасности и повышения осведомленности пользователей. Кроме того, уязвимости протокола удаленного рабочего стола (RDP), такие как BlueKeep, являются предупреждением о том, что службы удаленного доступа могут открывать новые возможности для киберпреступников и могут также использоваться в качестве вектора атаки для распространения программ-вымогателей.

Между домашними принтерами и критически важной инфраструктурой сегодня также появляется растущая линейка систем управления для дома и малого бизнеса. Эти интеллектуальные системы привлекают сравнительно меньше внимания со стороны злоумышленников, чем их промышленные аналоги, но и это может измениться с учетом возросшей хакерской активности, наблюдаемой в отношении таких устройств, как системы управления окружающей средой, камеры видеонаблюдения и системы безопасности. Было обнаружено, что уязвимость, связанная с решениями для управления зданием, сработала в 1% организаций, что может показаться незначительным, но этот показатель выше, чем обычно для продуктов ICS или SCADA.

Киберпреступники ищут новые возможности для захвата управления устройствами контроля в домах и на предприятиях. Иногда эти типы устройств не являются такими приоритетными, как другие, или выходят за рамки традиционного управления ИТ. Безопасность интеллектуальных жилых систем и систем малого бизнеса заслуживает повышенного внимания, особенно потому, что доступ злоумышленника к таким системам может иметь серьезные последствия для безопасности. Это особенно актуально для удаленных рабочих сред, где важен безопасный доступ.

Динамический, упреждающий и осуществляемый в режиме реального времени анализ угроз позволяет выявлять тенденции, в частности, меняющийся характер методов атак, ориентированных на поверхность цифровой структуры а также позволяет расставлять приоритеты в отношении кибергигиены. Ценность анализа угроз и способность принимать меры на основании этих данных значительно снижаются, если их нельзя реализовать в режиме реального времени на каждом устройстве безопасности. Только комплексный, интегрированный и автоматизированный подход к безопасности может обеспечить защиту всего сетевого окружения, от IoT до периферии, ядра сети и мультиоблачной инфраструктуры, с сохранением высокой скорости и масштабности.