По данным ежегодного рейтинга IBM Safety X-Power Danger Intelligence Index, программы-вымогатели и фишинг были главными проблемами кибербезопасности для предприятий в 2021 году.
В отчете представлены тенденции и шаблоны, наблюдаемые X-Power, платформой IBM для обмена информацией об угрозах, включая ключевые точки данных, включая сетевые и конечные устройства обнаружения, а также действия по реагированию на инциденты (IR).
В отчете за 2021 год программы-вымогатели названы основным типом атак; фишинг и незакрытые уязвимости как основные векторы заражения; облачные среды, среды с открытым исходным кодом и среды Docker как наиболее важные области для вредоносных программ; производство наиболее атакуемой отрасли; и Азия наиболее атакуемый регион.
Программы-вымогатели процветали, несмотря на запреты правительства
По данным X-Power, в 2021 году на программы-вымогатели приходилось 21% всех кибератак. Однако это на 2% меньше, чем в 2020 году. Правоохранительные органы сыграли важную роль в борьбе с программами-вымогателями в 2021 году, хотя с потенциалом возрождения в 2022 году, сообщает X-Power.
REvil, также известный как Sodinikibi, был ведущим штаммом программ-вымогателей, на долю которого приходится 37% атак, за ним следует Ryuk с 13% и Lockbit 2.0 с 7%. Другие программы-вымогатели, участвовавшие в кибератаках, включали DarkSide, Crystal, BlackMatter, Ragnar Locker, BitLocker, Medusa, EKing, Xorist.
В отчете указана средняя продолжительность жизни групп вымогателей на фоне крупных уничтожений в последнее время. «Мы начали замечать тенденцию среди групп вымогателей, за которой мы следим, предполагая, что наступает время, когда они либо расформировываются, либо им нужно внести изменения, чтобы правоохранительные органы могли потерять свои следы — и что средняя продолжительность жизни составляет 17 месяцев», — говорит Лоранс Дайн. глобальный лидер по реагированию на инциденты для IBM Safety X-Power.
Примером такого поворота является ребрендинг группы GandCrab в REvil и работа в течение 31 месяца, прежде чем она была окончательно закрыта в октябре 2021 года.
В отчете указано, что существует пять этапов развертывания атаки программ-вымогателей:
- Первоначальный доступ: включает такие векторы начального доступа, как фишинг, использование уязвимостей и установление постоянного доступа по протоколу удаленного рабочего стола.
- Пост-эксплуатация: включает RAT (инструмент удаленного доступа) или вредоносное ПО для установления интерактивного доступа.
- Понять и расширить: скрининг локальной системы и расширение доступа для бокового перемещения.
- Сбор и эксфильтрация данных: выявление ценных данных и их эксфильтрация.
- Развертывание программы-вымогателя: распространение полезной нагрузки программы-вымогателя.
Кроме того, в отчете прослеживается эволюция атак программ-вымогателей и отмечается все более широкое использование так называемого тройного вымогательства, которое включает шифрование, извлечение и DDoS (распределенный отказ в обслуживании) в качестве комбинированного нападения. Тройное вымогательство представляет собой натиск угроз в отношении жертвы, а иногда и партнеров жертвы, поскольку он пытается заградить жертву с нескольких фронтов, увеличивая потенциальный срыв, усиливая психологические последствия нападения и усиливая давление с целью заплатить, по Дине.
Согласно отчету, атаки на доступ к серверу и компрометация деловой электронной почты (BEC) были вторым и третьим по распространенности типами атак с 14% и 8% соответственно.
Основные векторы: фишинг и эксплуатация уязвимостей
Фишинг стал самым распространенным методом атаки в 2021 году, он использовался в 41% всех атак по сравнению с 33% в 2020 году, в то время как использование уязвимостей (34%) опустилось на второе место по сравнению с 35%.
Смоделированные фишинговые кампании X-Power Purple, глобальной сети хакеров, нанятых для взлома систем организаций с целью выявления уязвимостей, дали 17,8% кликов. При добавлении телефонных звонков с вишингом (голосовым фишингом) кликабельность подскочила в три раза до 53,2%.
«Среднему опытному потребителю становится легче обнаружить очевидные мошенничества», — говорит Лиз Миллер, аналитик Constellation Analysis. «Вот почему мошенничество меняется и добавляет элементы повышенной легитимности, такие как телефонный звонок с последующим фишинговым электронным письмом. Однажды ко мне лично обратился кто-то по поводу возможной проблемы со счетом в финансовом учреждении, предложив отправить инструкции по электронной почте для ее решения».
В отчете подчеркивается, что развертывание фишинговых наборов обычно недолговечно: около двух третей используются не более одного дня, и только около 75 посетителей/жертв за одно развертывание. Почти все развертывания запрашивали учетные данные пользователя (идентификаторы и пароли), а затем данные кредитной карты (40%). Очень мало запрошенных контактов банкомата (3%). Microsoft, Apple, Google, Amazon и Dropbox входят в число наиболее часто подделываемых фишинговых наборов.
Неисправленные уязвимости для предприятий в Европе, Азии и странах Ближнего Востока и Африки стали причиной примерно 50% всех атак в 2021 году. Две наиболее часто используемые уязвимости были обнаружены в широко используемых корпоративных приложениях Microsoft Alternate и Apache Log4J Library.
Другие распространенные векторы заражения, указанные в отчете, включают украденные учетные данные, перебор, протокол удаленного рабочего стола (RDP), съемные носители и распыление паролей.
Атаки используют Docker, открытый исходный код, OT
На основе данных, полученных от Intezer, в отчете отмечается, что количество программ-вымогателей Linux с уникальным кодом за год выросло примерно в 2,5 раза (146%), что подчеркивает инновации в этом сегменте. В отчете также отмечается, что злоумышленники переходят от обычных систем Linux к контейнерам Docker.
«Вектор атаки на открытый исходный код и, как следствие, на контейнерные среды, в которых может находиться код, даже отделенный от других частей сети, за последние несколько лет экспоненциально растет», — говорит Миллер. «Открытый исходный код, несмотря на все его лучшие намерения, может позволить уязвимостям и строкам вредоносного кода находиться глубоко в библиотеках, которые не затрагивались в течение десятилетия».
В отчете отмечается повышенная активность в средах операционных технологий (OT), когда злоумышленники проводят масштабные разведывательные кампании в поисках пригодных для эксплуатации коммуникаций в промышленных сетях. В 2021 году большинство этих действий были нацелены на TCP-порт 502. Этот порт использует протокол обмена сообщениями прикладного уровня для связи клиент-сервер между подключенными шинами, сетями и устройствами программируемого логического контроллера (ПЛК) в промышленных сетях. Активность разведки, нацеленной на порт 502, увеличилась на 2204%.
В организациях, подключенных к OT, 61 % инцидентов наблюдался в производственном сегменте, а 36 % наблюдаемых инцидентов были связаны с программами-вымогателями.
Кибератаки по регионам и рекомендации
Азия была наиболее атакуемым регионом в 2021 году, на нее пришлось 26% всех атак. Из этих атак 20 % были связаны с доступом к серверу и 11 % — с программами-вымогателями — двумя наиболее распространенными атаками в регионе. Финансы, включая страхование, и производство были наиболее атакованными секторами: 30% и 29% соответственно. Япония, Австралия и Индия были наиболее пострадавшими странами Азии.
Европа заняла второе место с 24% всех атак, сконцентрированных в сфере производства (25%), финансов и страхования (18%). Программы-вымогатели (26%) и доступ к серверу (12%) возглавляли типы атак в регионе. Великобритания, Италия и Германия были наиболее пострадавшими странами Европы.
В целом на производство пришлось 23,2% атак в 2021 году, что на 34% больше, чем в предыдущем году. Программы-вымогатели (23%) и доступ к серверу (12%) были основными типами атак в этой отрасли.
В отчете сделан вывод о том, что подход с нулевым доверием, автоматизация реагирования на инциденты и расширенные возможности обнаружения и реагирования могут быть полезны при борьбе с современными угрозами.
Подход с нулевым доверием, реализующий многофакторную аутентификацию и принцип наименьших привилегий, может снизить уязвимость организаций к основным типам атак, указанным в отчете, в частности к программам-вымогателям и компрометации корпоративной электронной почты.
Согласно отчету, еще одним вариантом является автоматизация машин для устранения угроз, на которые у человека или группы специалистов по кибербезопасности уйдет несколько часов.
В отчете предполагается, что объединение нескольких различных решений в расширенное решение для обнаружения и реагирования (XDR) может дать организациям преимущества при выявлении и блокировании злоумышленников.
«Киберпреступники становятся все более устойчивыми, изобретательными и скрытными в погоне за критически важными данными бизнеса, поэтому то, где предприятия хранят свои данные, имеет большее значение, чем когда-либо», — говорит Дайн. «Очень важно, чтобы они модернизировали свою инфраструктуру, чтобы лучше управлять, защищать и контролировать доступ к своим данным «кто, что и почему».
Авторское право © 2022 IDG Communications, Inc.
https://cyberxhack.org/