Актуальные киберугрозы — 2018 · Мобильные устройства iot...

Актуальные киберугрозы — 2018 Тренды и прогнозы

Содержание

Обозначения ................................................................................................................................................................ 2

Тренды ............................................................................................................................................................................... 3

Общая статистика ..................................................................................................................................................... 4

Категории жертв ........................................................................................................................................................7

Государственные учреждения ................................................................................................................8

Медицинские учреждения ........................................................................................................................ 9

Финансовая отрасль ....................................................................................................................................10

Сфера образования .......................................................................................................................................11

IT-компании ........................................................................................................................................................12

Торговля ................................................................................................................................................................13

Промышленные компании ......................................................................................................................14

Сфера услуг.........................................................................................................................................................15

Частные лица......................................................................................................................................................16

Методы атак ............................................................................................................................................................... 17

Использование вредоносного ПО .................................................................................................... 17

Социальная инженерия .............................................................................................................................18

Хакинг .....................................................................................................................................................................18

Эксплуатация веб-уязвимостей ...........................................................................................................19

Подбор учетных данных ............................................................................................................................19

DDoS ....................................................................................................................................................................... 20

Прогнозы ..................................................................................................................................................................... 20

Актуальные киберугрозы — 2018.Тренды и прогнозы

1


2

Использование легального ПО

Категории жертв

Финансовая отрасль

Государственные учреждения

Медицинские учреждения

Сфера образования

Промышленные компании

Онлайн-сервисы

Сфера услуг

Транспорт

IT-компании

Торговля

Частные лица

Телекоммуникационные компании

Криптовалютные биржи

Другие сферы

Обозначения

Объекты атак

Инфраструктура

Веб-ресурсы

Пользователи

Банкоматы и POS-терминалы

Мобильные устройства

IoT

Методы атак

Использование вредоносного ПО

Подбор учетных данных

Социальная инженерия

Хакинг

Эксплуатация веб-уязвимостей

DDoS


ТрендыКомпания Positive Technologies продолжает следить за актуальными угроза-ми информационной безопасности. В этом отчете мы подводим итоги 2018 года и делимся своими прогнозами на 2019 год.

Главные тенденции 2018 года:

Преобладают целенаправленные атаки, доля которых увеличивалась на протяже-нии всего года и в четвертом квартале составила 62%.

Растет доля атак, направленных на кражу информации. Злоумышленники похища-ют преимущественно персональные данные (30%), учетные данные (24%) и данные платежных карт (14%).

В 2018 году внимание преступников привлекли медицинские учреждения в США и Европе: по количеству атак они опередили даже финансовые организации. Хакеров интересует как медицинская информация, так и возможность получить выкуп за восстановление работоспособности компьютерных систем: медучреж-дения легче соглашаются заплатить хакерам, поскольку от этого могут зависеть жизнь и здоровье людей.

Вредоносное ПО используется уже в 56% кибератак. Этому способствует тот факт, что вредоносные программы с каждым годом становятся более доступными, и соответственно, снижается порог входа в киберпреступный бизнес.

Наиболее популярным стало ПО для шпионажа и удаленного управления, с помо-щью которого преступники собирают конфиденциальную информацию или, в слу-чае целенаправленной атаки, закрепляются в системе.

Доля майнеров в общем числе заражений вредоносным ПО уменьшается на фоне общего снижения курсов криптовалют и повышения сложности их добычи. Если в первом квартале года доля майнеров составляла 23%, то по итогам четвертого квартала — всего 9%.

Преступники все чаще прибегают к сложным и многоэтапным техникам, включа-ющим в себя взлом инфраструктуры компаний-партнеров, заражение ресурсов известных производителей ПО или комбинацию нескольких методов в рамках одной атаки.

Существенно возросла роль социальной инженерии как в атаках на организации, так и в отношении частных лиц. Преступники используют всевозможные каналы связи — электронную почту, мессенджеры, телефонные звонки, SMS-сообщения и даже обычную почту.

Мощность DDoS-атак продолжает расти. В 2018 году были зафиксированы две самые крупные DDoS-атаки в истории — мощностью 1,35 и 1,7 терабит в секун-ду. Такие результаты были достигнуты усилением атак с помощью серверов memcashed.

Грань между киберпреступлениями и другими видами преступной деятель-ности постепенно размывается. Большая часть инцидентов связана не непо-средственно с кражей денег, а только с похищением различной информации, что свидетельствует о том, что взлом компьютерных систем может являться лишь подготовительным этапом в будущих крупных мошеннических схемах или инструментом в кибервойне. Украденные сведения могут быть использованы как против частных лиц, к примеру для оформления кредитов на чужое имя, получения бесплатных медицинских услуг или дорогостоящих медикаментов, так и против организаций и даже государств — например, с целью присвоения чужих технологий и разработок.


3

42%2%

41%

Получение данных

Хактивизм

Финансовая выгода

Кибервойна

15%

Рисунок 1. Мотивы злоумышленников

Общая статистикаБольшинство атак в 2018 году предсказуемо совершалось с целью обогаще-ния или получения конфиденциальных данных. При этом атаки, направленные на получение информации, зачастую также содержат финансовый подтекст: украденные данные затем используются для кражи денег, шантажа или размеща-ются для продажи на теневом рынке.

В отличие от прошлого года большую часть (55%) составили целенаправленные атаки; их доля постепенно увеличивалась из квартала в квартал.

Мы рассматриваем только уникальные события, поэтому за единичную атаку принимается вредоносная кампания в целом, а не отдельный инцидент. В рам-ках одной кампании может произойти множество схожих инцидентов, например миллионы случаев заражения одним шифровальщиком, которые будут учтены как одна масштабная атака.

Почти четверть атак (23%) затронули частных лиц. Среди юридических лиц в 19% инцидентов жертвами хакеров стали государственные учреждения, еще в 11% слу-чаев пострадали медицинские учреждения, а в 10% — финансовые организации. Если атака была массовой и затрагивала компании из различных сфер, мы относи-ли ее к категории «Без привязки к отрасли».


Другие

Онлайн-сервисы


Промышленные и производственные компании

Телекоммуникационные компании

Без привязки к отрасли


Транспорт


Криптовалютные биржи

IT-компании


Торговля

4%

4%

3%

4%

2%

4%

19%19%

11%

7%5% 10%

1%

7%

Рисунок 2. Категории жертв среди юридических лиц


4

Рисунок 3. Количество инцидентов в 2017 и 2018 годах (по месяцам)






IoT

49%7% 1%4%

26%

13%

В 2018 году мы зафиксировали на 27% больше уникальных инцидентов, чем годом ранее. При этом не наблюдалось значимых спадов активности. Мы выявили пики в некоторые отрезки года, например в феврале, мае, июле и в конце года, что свя-зываем со всплесками атак злоумышленников в преддверии и во время крупных спортивных соревнований (зимних Олимпийских игр и чемпионата мира по фут-болу), а также с предновогодним периодом, когда финансовая активность и орга-низаций, и частных лиц повышается.

Соотношение атакуемых объектов практически не изменилось. Чаще всего злоу-мышленники атаковали инфраструктуру и веб-ресурсы компаний: это 49% и 26% атак соответственно. Доля атак на банкоматы и POS-терминалы за год сократилась с 3% до 1%.

Действия хакеров становятся все более хитроумными: атаки все чаще проходят в несколько этапов, в рамках которых применяются разные методы. Вредоносное ПО используется более чем в половине атак, возросла роль социальной инже-нерии: к ней хакеры прибегают в каждой третьей атаке. Статистические данные по каждому методу атаки приведены в конце отчета.

82

9095

20182017

114

65

103 100

115

101

126122

90 8991

118

97

75

43

9388

66

103 106

88

0

20

40

60

80

100

120

140

01 02 03 04 05 06 07 08 09 10 1211

Рисунок 4. Объекты атак


5

Отрасль

Госу

дарс

твен

ные

учре

жде

ния

Фин

ансо

вая

отра

сль

Про

мы

шле

нны

е ко

мпа

нии

Мед

ицин

ские

уч

реж

дени

я

Онл

айн-

серв

исы

Сфер

а ус

луг

IT-к

омпа

нии

Сфер

а об

разо

вани

я

Торг

овля

Теле

ком

мун

икац

ионн

ые

ком

пани

и

Част

ные

лица

Тран

спор

т

Крип

това

лютн

ые

бирж

и

Дру

гие

Без

прив

язки

к о

трас

ли

Всего атак 186 92 40 109 32 40 52 65 43 19 290 14 37 63 182

Объ

ект

Инфраструктура 108 64 31 72 3 14 21 38 8 11 89 6 6 32 110

Веб-ресурсы 57 7 6 18 25 14 24 14 27 6 52 5 27 21 27

Пользователи 16 12 1 18 4 5 7 12 6 1 66 2 4 6 7

Мобильные устройства 1 2 - - - - - - - - 75 1 - 1 3

Банкоматы и POS-терминалы - 6 - - - 6 - - 2 - 2 - - - -

IoT 4 1 2 1 - 1 - 1 - 1 6 - - 3 35

Мет

од

Использование ВПО 100 53 26 44 10 18 16 20 17 5 212 6 3 18 159

Социальная инженерия 60 45 9 27 5 7 5 25 4 3 124 1 6 18 47

Подбор учетных данных 26 10 1 37 2 3 5 17 5 3 33 3 7 12 15

Хакинг 34 33 10 16 8 9 15 9 6 8 22 2 23 16 56

Эксплуатация веб-уязвимостей 36 5 8 13 15 10 16 8 23 6 29 3 6 17 16

Использование легального ПО 3 - 1 - - - 1 - - 2 3 - - 1 3

DDoS 16 3 3 - 2 - 10 3 - 2 1 - - 2 2

Другой 1 1 - - - 1 - - 1 - 5 - - 2 2

Мот

ив

Финансовая выгода 33 60 9 23 4 18 13 18 9 2 180 6 34 20 91

Получение данных 95 28 21 80 20 20 21 32 31 14 87 6 2 25 54

Хактивизм 44 4 6 6 8 2 18 15 3 3 19 2 1 17 36

Кибервойна 14 - 4 - - - - - - - 4 - - 1 1

Градацией цвета показана доля атак внутри одной отрасли 0% 10% 20% 30% 100%

Рисунок 5. Методы атак

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Другой

1%

DDoS



Хакинг


3%


14%

17%

21%

31%

Использование ВПО

56%

1%

Рисунок 6. Распределение киберинцидентов по метрикам (мотивы, методы, объекты атак) внутри отраслей

40%


6

КАТЕГОРИИ ЖЕРТВ

Проанализируем атаки на отдельные отрасли, которые чаще всего становились целью злоумышленников в 2018 году.


7

51%7%

24%


Хактивизм



18%

51%7%

24%


Хактивизм



18%

Рисунок 7. Мотивы атак




Пользователи (сотрудники)


IoT

58%1%

2%

31%

8%





IoT

58%1%

2%

31%

8%


Рисунок 9. Число атак на государственные организации

Рисунок 10. Методы атак на государственные организации

Q4

53

0 10 20 30 40 50 60

Q3

36

46

Q2

Q1

51

0% 10% 20% 30% 40% 50% 60%

Другой

1%

2%

DDoS



9%


14%

32%


54%


19%

Хакинг

18%

В первую очередь преступников интересовала конфиденциальная информация: получение данных было их основным мотивом в 51% случаев. Сайты государствен-ных организаций часто используются нарушителями для привлечения внимания общественности — приблизительно четверть всех инцидентов относилась к кате-гории «хактивизм».

В основном хакеры атаковали инфраструктуру государственных организаций и заражали компьютеры вредоносным ПО — программами для шпионажа и уда-ленного управления. Было также зафиксировано более 20 кампаний по заражению ресурсов госучреждений шифровальщиками.

Для внедрения в сеть организаций активно использовались методы социальной инженерии: вредоносные программы распространялись по электронной почте, через официальные магазины приложений и даже на компакт-дисках, присылаемых в конвертах по почте. Так, в первом квартале специалисты PT ESC зафиксировали фишинговые рассылки, через которые злоумышленники распространяли обновлен-ную версию шпионского ПО SANNY и троян Fucobha, а в конце года мы отмечали активность группировок Treasure Hunters, Danti APT и SongXY, рассылающих фишин-говые документы в адрес государственных организаций России и стран СНГ.


8

https://https://habr.com/ru/company/pt/blog/432172/

73%6%


Хактивизм


21%

73%6%


Хактивизм


21%


IoT



66%1%

16%

17%


IoT



66%1%

16%

17%


В 2018 году мы зафиксировали повышенный интерес хакеров к медицинским организациям. Число атак на медучреждения даже превысило число атак на фи-нансовые компании. В руках злоумышленников оказались персональные данные и медицинская информация более 6 млн человек.

Хакеры атакуют медицинские организации не только с целью кражи данных, но и ради непосредственной наживы, понимая, что непрерывная работа систем критически важна, когда речь идет о жизни и здоровье пациентов. Преступники проникали в инфраструктуру медицинских компаний и зашифровывали данные, требуя выкуп за восстановление работоспособности. Так, из-за действий хаке-ров была парализована работа компьютерных систем в американской больнице Hancock Regional, руководство которой решило заплатить вымогателям 55 тысяч долларов.



Q4

35

0 10 20 30 40 50 60

Q3

26

Q2

Q1

24

24

0% 10% 20% 30% 40% 50% 60%


40%


34%


Хакинг

12%

15%


25%

Рисунок 13. Число атак на медицинские учреждения

Рисунок 14. Методы атак на медицинские учреждения


9

https://www.ibtimes.co.uk/hospital-pays-55000-bitcoin-hackers-after-samsam-ransomware-locks-systems-1655412https://www.ibtimes.co.uk/hospital-pays-55000-bitcoin-hackers-after-samsam-ransomware-locks-systems-1655412

65%4%



Хактивизм

31%

65%4%



Хактивизм

31%





IoT

70%1%

2%

8%

6%

13%






IoT

70%1%

2%

8%

6%

13%



Главным мотивом злоумышленников при проведении атак на финансовые органи-зации очевидно является получение прямой финансовой выгоды (65% инцидентов). Тем не менее значительна и доля инцидентов, где целью было получение инфор-мации о платежных картах, персональных данных, учетных данных пользователей для доступа к личным кабинетам. Эту информацию преступники могут использовать для кражи денег со счетов клиентов или продать на теневом рынке.

В начале года в США прошла волна «джекпоттинга»: преступники устанавливали на банкоматы вредоносное ПО Ploutus-D, которое позволяло управлять выдачей наличных. Примечательно, что в арсенале преступников присутствовал медицин-ский эндоскоп, с помощью которого они проходили физическую аутентификацию без доступа к сейфу.

Во втором полугодии активизировались известные APT-группировки. Специалисты PT ESC зафиксировали 23 атаки, которые за этот период провела группировка Cobalt: преступники подготовили новое вредоносное ПО и, как обычно, распространяли его путем рассылки электронных писем от лица финансовых организаций.

Кроме того, эксперты PT ESC обнаружили новую кибергруппу, атакующую финансо-вый сектор. Эти злоумышленники также рассылали документы с макросами, которые загружали утилиты, предоставляющие удаленный доступ к зараженному компьюте-ру. Рассылка осуществлялась от лица ФинЦЕРТ и со скомпрометированного ящика сотрудника крупной финансовой компании. При анализе документов был обнаружен модифицированный скрипт, который ранее использовался группой Treasure Hunters, однако дальнейший анализ трафика и утилит позволил предположить появление новой преступной группировки.



Рисунок 17. Число атак на финансовые организации

Рисунок 18. Методы атак на финансовые организации

Q4

23

0 10 20 30 40 50 60

Q3

29

18

Q2

Q1

22

0% 10% 20% 30% 40% 50% 60%

Другой

1%

DDoS

Хакинг


3%

36%

49%


58%


11%


5%


10

https://www.theguardian.com/technology/2018/jan/29/jackpotting-hackers-atm-cash-machine-give-awayhttps://https://habr.com/ru/company/pt/blog/432172/

49%

28%


Хактивизм


23%

49%

28%


Хактивизм


23%






IoT

58%2%

22%

18%




IoT

58%2%

22%

18%


Рисунок 21. Число атак на образовательные учреждения

Рисунок 22. Методы атак на образовательные учреждения

Q4

0 10 20 30 40 50 60

Q3

Q2

Q1

16

19

17

13

0% 10% 20% 30% 40% 50% 60%

DDoS

5%


Хакинг

14%

12%


26%


38%


31%

В основном преступники похищали персональные данные сотрудников и уча-щихся, а также учетные данные для доступа к электронной почте, банковским ак-каунтам и другим сервисам. Так, в нескольких учебных заведениях преступники получили доступ к банковским счетам и платежным документам и смогли похи-тить в общей сложности более двух миллионов долларов. Образовательные уч-реждения подвергались атакам шифровальщиков: они использовались в каждой шестой атаке. Мотивы преступников при этом могли быть разными — либо по-требовать выкуп за восстановление данных, либо попросту парализовать работу компьютерных систем учебного заведения. Во втором квартале, на который при-ходится конец учебного года и подведение его итогов, чаще выявлялись атаки с це-лью изменения оценок в системах учета успеваемости.

В погоне за интеллектуальной собственностью — научными наработками, не-опубликованными исследованиями — хакеры атаковали научные институты. Такая информация часто представляет интерес для группировок спонсируе-мых тем или иным правительством; ряд подобных атак приписывают хакерам из Ирана и Северной Кореи. Помимо этого, злоумышленники получают финансовую выгоду, размещая украденные научные работы на подконтрольных им ресурсах с платным доступом.


11

https://www.bleepingcomputer.com/news/security/students-hack-high-school-to-change-grades-get-lunch-refunds/https://www.washingtonpost.com/local/public-safety/hackers-tried-to-change-grades-at-virginia-high-school-police-say/2018/04/03/924ecf82-3765-11e8-acd5-35eac230e514_story.html?noredirect=on&utm_term=.e467b41490cbhttps://www.secureworks.com/blog/back-to-school-cobalt-dickens-targets-universitieshttps://www.zdnet.com/article/cyber-espionage-group-uses-chrome-extension-to-infect-victims/

40%

35%


Хактивизм


25%

40%

35%


Хактивизм


25%






46%

40%

14%Инфраструктура



46%

40%

14%

IT-компании

Рисунок 25. Число атак на IT-компании

Рисунок 26. Методы атак на IT-компании

Q4

0 10 20 30 40 50 60

Q3

Q2

Q1

15

5

20

12

Объектами атак злоумышленников стали веб-ресурсы и инфраструктура IT-компаний. Часто взлом IT-компании является лишь промежуточным звеном в бо-лее сложной атаке. На серверах может храниться значимая информация о клиен-тах, а в случае атаки на провайдера услуг — данные других компаний, в том числе их веб-сайты. Хакеров интересует и доступ к электронной почте сотрудников: ее можно использовать для фишинговых рассылок. Кроме того, ресурсы известных производителей ПО становятся удачной площадкой для распространения вредо-носных программ под видом официальных обновлений.

Во втором квартале эксперты PT ESC выявили фишинговую атаку, нацеленную на крупную IT-компанию. Через электронную почту распространялся троян PlugX, который уже несколько лет используется злоумышленниками в атаках с целью шпионажа.

IT-компании чаще остальных (за исключением государственных учреждений) под-вергались DDoS-атакам: хакерам удавалось приостановить работу интернет-про-вайдеров, владельцев игровых серверов — то есть тех компаний, которые особен-но чувствительны к потере связи и перебоям в функционировании оборудования.

0% 10% 20% 30% 40% 50% 60%

2%


Хакинг


31%



10%

10%

29%

DDoS

19%


31%


12

https://www.zdnet.com/article/cambodias-isps-hit-by-some-of-the-biggest-ddos-attacks-in-the-countrys-history/https://www.zdnet.com/article/cambodias-isps-hit-by-some-of-the-biggest-ddos-attacks-in-the-countrys-history/https://www.cbronline.com/news/assassins-creed-odyssey-attack

72%7%



Хактивизм

21%

72%7%



Хактивизм

21%




63%5%

14%

18%





63%5%

14%

18%


Торговля

Главным образом преступники были нацелены на кражу информации из интер-нет-магазинов, причем в 70% случаев были похищены данные платежных карт. Особо выделялась группировка Magecart, которая проводила свои атаки во вто-рой половине года. Хакеры встраивали вредоносные скрипты в веб-приложения, которые собирали платежные и контактные данные, введенные пользователями.

Число атак на POS-терминалы сократилось в три раза по сравнению с 2017 годом, однако именно с POS-терминалами оказалась связана одна из крупнейших атак в сфере розничной торговли. Хакеры установили вредоносное ПО на терминалы, расположенные в розничных магазинах торговых сетей Saks Fifth Avenue и Lord & Taylor, и смогли похитить данные более 5 млн банковских карт.



Рисунок 29. Число атак на компании из сферы розничной торговли

Рисунок 30. Методы атак на компании из сферы розничной торговли

Q4

16

0 10 20 30 40 50 60

Q3

8

15

Q2

Q1

4

0% 10% 20% 30% 40% 50% 60%

Другой

2%

Хакинг

14%


12%


53%


9%


40%


13

https://www.nytimes.com/2018/04/01/technology/saks-lord-taylor-credit-cards.htmlhttps://www.nytimes.com/2018/04/01/technology/saks-lord-taylor-credit-cards.html

52%

10%

23%


Хактивизм



15%

52%

10%

23%


Хактивизм



15%






IoT

77%3%

5%

15%




IoT

77%3%

5%

15%

Промышленные компании

Рисунок 33. Число атак на промышленные предприятия

Рисунок 34. Методы атак на промышленные предприятия

Q4

0 10 20 30 40 50 60

Q3

Q2

Q1

9

7

9

15

0% 10% 20% 30% 40% 50% 60% 70%



20%

DDoS

8%


3%

3%

Хакинг

25%

23%



65%

2018 год не запомнился громкими атаками на сферу промышленности, однако это можно приписать лишь счастливой случайности. В августе нефтехимический завод в Саудовской Аравии подвергся атаке злоумышленников. Их целью была не просто остановка технологических процессов, а взрыв, который мог бы не только вызвать экологическую катастрофу, но и неминуемо сопровождался бы человеческими жертвами. Злоумышленники закрепились в компьютерной сети предприятия и на-ходились в ней в течение длительного времени, и только ошибки в коде хакерского ПО не позволили им осуществить свои намерения.

Во втором квартале специалисты по безопасности обнаружили вредоносное ПО VPNFilter, которым оказалось заражено более 500 тысяч роутеров. Это ПО предна-значено для перехвата и подмены трафика, проходящего через роутер. Как пред-полагается, целью преступников являлись системы SCADA: при анализе кода про-граммы было установлено, что она ищет в трафике данные определенного вида, используемые в промышленных системах управления.

В промышленной сфере процветал шпионаж — хакеры похищали конфиденциаль-ную техническую документацию, касающуюся, например, проектов АЭС или кон-струкции кораблей. В их распоряжении оказывалась и другая ценная информация, которую можно было бы выгодно продать преступным группировкам, к примеру планы расположения камер видеонаблюдения в тюрьмах, украденные у инженер-ной компании в числе прочих данных. В течение года специалисты PT ESC наблю-дали атаки группировки SongXY, направленные на государственные и военно-про-мышленные организации. Главной целью этой группировки является шпионаж, используемое вредоносное ПО позволяет злоумышленникам следить за действия-ми пользователей и контролировать зараженные компьютеры.


14

https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.htmlhttps://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malwarehttps://https://www.dw.com/en/hackers-obtain-nuclear-power-plant-plans-in-france/a-46126878https://www.dw.com/en/hackers-obtain-nuclear-power-plant-plans-in-france/a-46126878https://

50%5%


Хактивизм


45%

50%5%


Хактивизм


45%



35%3%




IoT


35%

12%

15%

35%3%




IoT


35%

12%

15%


Рисунок 37. Число атак на компании из сферы услуг

Рисунок 38. Методы атак на компании из сферы услуг

Q4

0 10 20 30 40 50 60

Q3

Q2

Q1

10

8

8

14

0% 10% 20% 30% 40% 50% 60%

Другой

3%


Хакинг

8%

23%


25%


18%


45%

В сфере услуг хакеры были нацелены на кражу информации о клиентах, в осо-бенности информации о платежных картах. Значительная часть инцидентов была связана с установкой вредоносного ПО на POS-терминалы.

Крупнейшая утечка данных в 2018 году произошла в результате взлома сети оте-лей Marriott, инцидент затронул 383 млн клиентов. Была похищена персональная информация, в том числе паспортные данные, скомпрометированы данные бан-ковских карт. Акции компании за один день потеряли в цене около 6%, и затем падение продолжалось еще в течение двух недель.


15

http://news.marriott.com/2019/01/marriott-provides-update-on-starwood-database-security-incident/


62%7%

30%


Хактивизм


1%


62%7%

30%


Хактивизм


1%



30%1%

2%

18%

26%23%





IoT


30%1%

2%

18%

26%23%





IoT


Частные лица

Рисунок 41. Число атак на частных лиц

Рисунок 42. Методы атак на частных лиц

Q4

73

0 10 20 30 40 50 60 70 80 90

Q3

58

Q2

72

Q1

87

0% 10% 20% 30% 40% 50% 60% 70% 80%


43%


Другой

2%


11%


10%

Хакинг

8%

73%

1%

DDoS


1%

Обычные пользователи наиболее часто подвергались атакам злоумышленников. В ходе атак преступники главным образом прибегали к социальной инжене-рии (43% от общего числа инцидентов) и использовали вредоносное ПО (73% от общего числа инцидентов). Чаще всего компьютеры и мобильные устройства пользователей заражались шпионским ПО (21%), которое собирало учетные дан-ные для доступа к личным кабинетам в онлайн-банках, криптовалютным кошель-кам и другим сервисам. Как правило, источником вредоносных программ ста-новились официальные магазины приложений, веб-сайты и электронная почта.

С общим падением курсов криптовалют уменьшается и доля атак с применением майнеров, которые были на пике популярности в прошлом году; майнинг ста-новится нерентабельным для злоумышленников. Если в первом квартале при атаках на частных лиц майнеры составляли 27% выявленного вредоносного ПО, то к концу года их доля постепенно снизилась до 13%.


16

Методы атак Приведем основные факты для самых распространенных методов атак, которые использовались преступниками в 2018 году.

Рисунок 45. Типы ВПО

Рисунок 46. Способы распространения ВПО

Рисунок 43. Количество атак с использованием ВПО

Рисунок 44. Доля атак с использованием ВПО

Q40

50

100

150

200

250

Q3Q2Q1

20182017

197

156

172

122

182

80 82

98

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

63%

49%

56%

41%

55%

36%38% 39%

Шпионское ПО

ВПО для удаленного управления

Майнер

Загрузчик

Банковский троян

Шифровальщик

ВПО для распространения рекламы и накрутки

Другой

ПО, удаляющее данные

26%1%

2%

20%

4%7%

14%

13%

13%

Электронная почта

Компрометация серверов и рабочих станций

Веб-сайты

Официальные магазины приложений

Мессенджеры и SMS-сообщения

Поддельные обновления

Социальные сети

Другой

30%5%

1%2%

26%

9%4%

23%

Использование вредоносного ПО


17

Рисунок 47. Количество атак методами социальной инженерии

Рисунок 49. Количество атак с использованием уязвимостей ПО и недостатков механизмов защиты

Рисунок 48. Доля атак методами социальной инженерии

Рисунок 50. Доля атак с использованием уязвимостей ПО и недостатков

механизмов защиты

Q40

60

80

40

20

100

120

140

Q3Q2Q1

20182017

102

34

115

3732

14

80

89

Q40

20

40

60

80

100

Q3Q2Q1

20182017

61

67

72

33

67

3332

21

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

29%25%

37%

11%

31%

6%

15% 15%

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

20%21% 23%

11%

20%15% 14%

8%


Хакинг


18

Рисунок 51. Количество атак с использованием веб-уязвимостей

Рисунок 52. Доля атак с использованием веб-уязвимостей

Рисунок 53. Количество случаев подбора учетных данных

Рисунок 54. Доля подбора учетных данных

Q40

20

40

60

80

100

Q3Q2Q1

20182017

36

58

52

30

65

2522

31

Q40

20

40

60

80

100

Q3Q2Q1

20182017

22

60

40

29

57

51

34 35

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

12%

18% 17%

10%

20%

11% 10%13%

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

7%

19%

13% 10%

17%

23%

16% 14%




19

Рисунок 55. Количество DDoS-атак Рисунок 56. Доля DDoS-атак

Q40

20

40

60

80

100

Q3Q2Q1

20182017

10

1611

16

7

17

8 9

Q40%

20%

40%

60%

80%

100%

Q3Q2Q1

20182017

3%5% 4% 5%

2%

8%4% 4%

DDoS

В 2018 году зафиксированы две самые мощные DDoS-атаки в истории — 1,7 и 1,35 терабит в секунду

ПрогнозыПрогнозы на 2019 год:

Тенденция к росту атак, направленных на хищение данных, скорее всего, сохра-нится. Преступники продолжат атаковать слабо защищенные ресурсы для кражи персональных, медицинских, платежных данных. В зоне риска находятся компа-нии из тех областей, где уровень защищенности пока не очень высок, например из сфер услуг, образования, медицины или розничной торговли. Вредоносное ПО для сбора платежных данных с веб-сайтов, POS-терминалов и банкоматов бу-дет активно развиваться.

Преступники будут искать новые пути распространения вредоносного ПО и со-вершенствовать старые. Социальная инженерия, вероятно, останется основным путем распространения, однако в связи с ростом осведомленности о различных способах мошенничества преступники начнут разрабатывать более хитроумные схемы обмана пользователей. Многоэтапные атаки (через supply chain) также не потеряют актуальности.

Продолжатся атаки шифровальщиков-вымогателей на наиболее чувствитель-ные к простоям и потере данных компании. Как показывает практика, некоторые организации не имеют плана действий и резервных ресурсов на случай сбоя в функционировании критически важных систем — и предпочитают заплатить преступникам, чтобы как можно скорее возобновить рабочие процессы.

Майнеры стали приносить своим владельцам намного меньший доход, поэтому если ситуация на рынке криптовалют не изменится, количество заражений май-нерами продолжит снижаться.

Мощность DDoS-атак будет увеличиваться как в связи с продолжающимся ро-стом ботнетов, так и в связи с использованием новых техник и уязвимостей, по-зволяющих многократно усиливать атаки, а также наличия в свободном доступе ПО, которым может воспользоваться даже неопытный злоумышленник.


20

Проправительственные группировки продолжат атаковать промышленные предприятия. Причем их целью может стать уже не шпионаж, а нарушение тех-нологических процессов, которое приведет к человеческим жертвам. В про-шедшем году мы видели попытки таких атак, но в ближайшее время они могут претвориться в жизнь, если компании не примут мер для повышения уровня защищенности.

Киберпреступность будет все больше переплетаться с другими видами пре-ступной деятельности. Инциденты, связанные со взломом компьютерных си-стем, например кража персональных данных, будут находить продолжение в тех преступлениях, которые обычно не попадают в поле зрения специалистов по информационной безопасности.

Рынок киберуслуг продолжит развиваться. Будет появляться все больше груп-пировок, которые предпочтут не вкладывать ресурсы в разработку собствен-ного ПО, а покупать уже готовое. В результате одни и те же программы будут использоваться разными группами киберпреступников, что существенно ус-ложнит атрибуцию.

Разработчикам вредоносного ПО выгодно продавать как можно больше копий одной утилиты, поэтому они будут нацелены на широкую аудиторию. В приори-тете будет расширяемое модульное ПО с гибкой архитектурой, которая позво-ляет легко добавлять новые функции для выполнения разных задач. Такие уни-версальные программы наверняка будет более востребованы у преступников, чем узконаправленные.

В 2018 году за невыполнение требований GDPR уже были оштрафованы первые компании, но в целом регуляторы применяли штрафные санкции лишь в край-них случаях. Вероятно, в будущем они будут более строги в отношении органи-заций, проявивших халатность при обработке данных.

Cybersecurity_threatscape-2018-Q4_A4.RUS.0004.05

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благо-даря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопро-сах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов.

Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифицирована Минобороны России и ФСТЭК России.

[email protected]

facebook.com/PositiveTechnologiesfacebook.com/PHDays

О компании


21

http://www.ptsecurity.commailto:pt%40ptsecurity.com?subject=http://facebook.com/PositiveTechnologieshttp://facebook.com/PHDays

ОбозначенияТрендыОбщая статистика

Категории жертвГосударственные учрежденияМедицинские учрежденияФинансовая отрасльСфера образованияIT-компанииТорговляПромышленные компанииСфера услугЧастные лица

Методы атак Социальная инженерияХакингЭксплуатация веб-уязвимостейПодбор учетных данныхDDoS

Прогнозы

Актуальные киберугрозы — 2018 · Мобильные устройства iot...

Documents