Майнеры пришли на смену шифровальщикам

в 10:59, , рубрики: SaaS / S+S, SoC, solar jsoc, аналитика, Блог компании Solar Security, информационная безопасность, исследование, Исследования и прогнозы в IT, Читальный зал

Мы в Solar JSOC на постоянной основе собираем данные о событиях и инцидентах информационной безопасности в инфраструктурах заказчиков. На базе этой информации мы раз в полгода делаем аналитику, которая демонстрирует, как меняются атаки на российские организации. Сегодня мы собрали для вас самые интересные тренды второго полугодия 2017 г.

Майнеры пришли на смену шифровальщикам - 1

Итак, для начала немного общей статистики, а потом рассмотрим угрозы и вектора атак более детально.

Всего за вторую половину 2017 года поток событий ИБ составил около 8,243 миллиардов (в первом полугодии – 6,156 миллиардов). Из них около 1 270 в сутки (всего 231 623 за полгода) – события с подозрением на инцидент, которые нуждались в рассмотрении инженера-аналитика.

Примерно каждый шестой инцидент был классифицирован как критичный. В нашей терминологии к критичным относятся инциденты, потенциально ведущие к финансовым потерям на сумму свыше 1 млн руб., компрометации конфиденциальной информации или остановке критичных бизнес-систем.

В этом раз мы сравнили показатели всех ключевых метрик за 4 года, и кое-где это дало любопытные результаты. Например, оказалось, что с каждым годом доля критичных инцидентов неуклонно растет. Если в первом полугодии 2015 года этот показатель составлял 8,1%, то во втором полугодии 2017 – уже 15,5% (при увеличении числа заказчиков).

Число атак на компании с 2014 года увеличилось в среднем на 26%.

Майнеры пришли на смену шифровальщикам - 2

Большая часть всех инцидентов (86,7%) происходила днем, однако, если говорить о критичных внешних инцидентах, то в 58,7% случаев они происходили ночью. Это самый высокий показатель за последние четыре года.

Майнеры пришли на смену шифровальщикам - 3

Майнеры пришли на смену шифровальщикам - 4

Это явление вполне объяснимо: с большой вероятностью ночной инцидент детектируют не сразу, и у киберпреступников будет больше времени для закрепления в инфраструктуре или даже для проникновения в целевые сегменты, позволяющие монетизировать атаку.

Kill Chain

Отдельно мы рассматриваем инциденты, составляющие Kill Chain – цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. Классическая и самая часто встречающаяся схема Kill Chain выглядит так:

Майнеры пришли на смену шифровальщикам - 5

Казалось бы, рядовым пользователям постоянно твердят об угрозах, исходящих из Сети. Тем не менее, социальная инженерия до сих пор остается поразительно эффективной. Во втором полугодии 2017 года в 65% случаев именно она использовалась для проникновения в инфраструктуру компании. При этом еще в первой половине года этот показатель равнялся 54%. Пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам, тем самым скачивая вредоносное ПО, которое служило целям киберпреступников.

Говоря о вредоносном ПО, можем отметить, что число заражений вирусами-шифровальщиками по сравнению с первым полугодием 2017 снизилось примерно на треть. Но их место быстро заняли вирусы-майнеры.

Любопытно, что в отношении майнингового ПО прослеживается определенная отраслевая специфика. Так, в банках они чаще всего обнаруживаются на рабочих станциях, которые были заражены через почту или зараженные сайты и, как правило, в рамках пакетов вредоносного ПО.

За пределами финансового сектора ситуация обстоит иначе: в среднем в каждой третьей организации мы фиксируем инциденты, когда майнеры на серверном оборудовании компании устанавливают непосредственно сотрудники ИТ-департамента.

В целом внешние злоумышленники чаще всего атакуют веб-приложения организаций (32,3%), в 22,8% они прибегают к brute-force и компрометации учетных данных внешних сервисов клиента, еще в 22,1% случаев – пытаются внедрить в организацию вредоносное ПО.

Майнеры пришли на смену шифровальщикам - 6

Инциденты, связанные с действиями внутренних злоумышленников, распределились следующим образом: утечки конфиденциальных данных – 48,2%, компрометация внутренних учетных записей – 22,6%, нарушение политик доступа в интернет – 8,2%. Заметим, что утечки – это почти половина от всех внутренних инцидентов. Видимо, желание повысить свою ценность в глазах других потенциальных работодателей часто оказывается непреодолимым.

Майнеры пришли на смену шифровальщикам - 7

Во второй половине 2017 года существенно (с 25,6% до 31,3%) возросло количество инцидентов, виновниками которых были ИТ-администраторы компаний. Сюда относятся и утечки конфиденциальной информации, и несоблюдение политик информационной безопасности ИТ-подразделением. Можно предположить, что такие цифры связаны со слабым контролем над этими сотрудниками (или умением ИТ-специалистов обходить технические средства защиты).

Майнеры пришли на смену шифровальщикам - 8

Кроме того, какое-то время назад мы рассказывали, как правильно выстроить процесс использования внешних источников данных об угрозах. Вот какие типы Threat Intelligence используем мы сами:

  • Opensource – открытые базы индикаторов вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
  • Reputation feeds – платные подписки на репутационные списки вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
  • APT/IOC reporting – платные подписки на подробные описания 0day вредоносных тел, включающие, в том числе, и описание используемых уязвимостей, и хостовые индикаторы вредоносного ПО.
  • Information Exchange – информация, полученная в рамках информационных обменов с госсударственными, ведомственными и иностранными центрами реагирования на инциденты (CERT).
  • Internal Solar JSOC database – индикаторы, полученные в результате собственных исследований Solar JSOC или расследований инцидентов.
  • User experience – информация, полученная напрямую от пользователей клиентов (успешное противодействие социальной инженерии, детектирование фишинговых рассылок и т.п.).

И вот какие из них были наиболее полезны во втором полугодии 2017:

Майнеры пришли на смену шифровальщикам - 9

Автор: SolarSecurity

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js