Fortinet опублікувала результати щоквартального звіту про глобальні загрози безпеці Global Threat Landscape Report
Fortinet опублікувала результати щоквартального звіту про глобальні загрози безпеці Global Threat Landscape Report
Fortinet опублікувала результати свого новітнього щоквартального звіту про глобальні загрози безпеці Global Threat Landscape Report.
Дослідження показує, що кіберзлочинці продовжують удосконалювати методи своїх атак, у тому числі використовують спеціально розроблювані програми-вимагачі та створюють індивідуальний код для здійснення низки спрямованих атак, і навіть використовують LoTL-атаки та загальну інфраструктуру для розширення своїх можливостей.
>Активність злочинців до моменту компрометації втричі вища протягом робочого тижня, при цьому трафік після компрометації щодо цього менш диференційований.
Деякі загрози найчастіше використовують єдину загальну інфраструктуру, ніж якісь унікальні або спеціалізовані інфраструктури. Прикладом нових технологій, яким кіберзлочинці останнім часом приділяють особливу увагу, є веб-платформи, які полегшують користувачам та підприємствам створення веб-сайтів.
Програми-вимагачі не зникли, а стали більш таргетованими та націлені на заможних користувачів. Зловмисники все частіше використовують інструменти подвійного призначення або інструменти, які вже встановлені на цільових системах і дозволяють здійснювати кібер-атаки.
Дослідження, яке ставило за мету з'ясувати, чи зловмисники розбивають свої атаки на окремі етапи, здійснюючи їх у різні дні тижня, показало, що кіберзлочинці прагнуть завжди максимально максимально використовувати можливості, що відкриваються. При порівнянні обсягу веб-фільтрації по двох фазах поетапних кібер-атак (cyber kill chain phases) по робочих днях тижня та у вихідні, з'ясувалося, що активність до моменту компрометації втричі вища протягом робочого тижня, при цьому трафік після компрометації щодо цього менш диференційований. Це головним чином пояснюється тим, що для пошуку вразливостей часто потрібно хтось, хто міг би виконувати будь-які дії, наприклад, пройти за посиланням у фішинговому листі. На противагу цьому, для активних дій (command-and-control, C2) подібних вимог немає, тому таку активність можна спостерігати у будь-який час. Кіберзлочинці розуміють це і намагаються максимально використовувати можливості протягом робочого тижня, коли користувачі найчастіше знаходяться в інтернеті. Використання різних практик веб-фільтрації для будніх днів та вихідних відіграє важливу роль для більш повного розуміння кіл-чейна різних атак.
Ступінь використання різними загрозами тієї чи іншої інфраструктури дозволяє скласти уявлення про низку важливих тенденцій. Деякі загрози найчастіше використовують єдину загальну інфраструктуру, ніж якісь унікальні чи спеціалізовані інфраструктури. Майже 60% загроз здійснювалися в рамках як мінімум одного загального домену, а це, у свою чергу, вказує на те, що більшість бот-мереж використовують вже сформовану інфраструктуру. Троян IcedID є прикладом такого підходу "навіщо купувати або будувати, якщо можна позичити". Крім того, коли загрози використовують якусь загальну інфраструктуру, вони, як правило, роблять це на тому самому етапі кіл-чейна. Ситуації, коли загроза використовує домен для вивчення обстановки та пошуку вразливостей, а потім у цьому ж домені здійснює передачу трафіку C2, відбуваються досить рідко. Це говорить про те, що інфраструктура відіграє особливу роль у реалізації шкідливих кампаній. Розуміння того, які загрози використовують одну і ту ж інфраструктуру та в яких саме точках ланцюжка атак, дозволяє організаціям прогнозувати потенційні точки розвитку та зміни шкідливих програм чи бот-мереж у майбутньому.
Зловмисники, як правило, переходять від однієї можливості до іншої цілими кластерами, націлюючись на найбільш успішні вразливості і технології, що знаходяться в даний момент на підйомі, щоб швидко скористатися можливістю, що відкрилася. Прикладом нових технологій, яким кіберзлочинці останнім часом приділяють особливу увагу, є веб-платформи, які полегшують користувачам та підприємствам створення веб-сайтів. Ці платформи разом із плагінами від сторонніх розробників продовжують залишатися поширеною мішенню для кіберзлочинців. Все це підтверджує необхідність миттєвого встановлення оновлень безпеки, а також вимагає з боку організацій повного розуміння кібер-загроз, що постійно розвивається, якщо вони хочуть залишатися на крок попереду хакерів.
Загалом і в цілому, на зміну популярним раніше програмам-здирникам прийшли більш таргетовані види атак, проте це не означає, що програми-здирники зовсім зникли з горизонту. Більш того, вони стали більш цілеспрямованими та орієнтовані на більш заможних користувачів. Як приклад можна навести програму LockerGoga, яка використовується для таргетованої багатоетапної атаки. З точки зору функціональної складності ця програма мало чим відрізняється від інших подібних програм-вимагачів, але якщо в більшості подібних інструментів, щоб замаскувати їх від антивірусів, використовується певний рівень обфускації, при аналізі цієї програми будь-якої значної обфускації не було виявлено. Це говорить про цільовий характер атаки та про те, що при створенні цієї програми зловмисники знали, що майбутні жертви не будуть спеціально шукати цей шкідливий код. Ще один приклад – Anatova. Як і для більшості інших програм-вимагачів, головна мета Anatova - зашифрувати якнайбільше файлів на системі жертви, за винятком тих файлів, які могли б позначитися на стабільності системи, що заражається. Крім того, програма обходить стороною комп'ютери, які виглядають ніби вони використовувалися для аналізу шкідливих програм або як приманки. Обидва ці варіанти програм-вимагачів вказують на те, що лідери безпеки, як і раніше, вчасно встановлюватимуть оновлення та здійснюватимуть резервне копіювання даних для захисту від звичайних програм-вимагачів. Але для протидії таргетованим загрозам та унікальним методам атак потрібен більш спеціалізований захист.
Оскільки зловмисники використовують ті самі бізнес-моделі, що й їхні жертви, щоб досягти максимального ефекту від своєї діяльності, методи атак найчастіше продовжують розвиватися навіть після успішного дебюту. Для цього зловмисники все частіше використовують інструменти подвійного призначення або інструменти, які вже встановлені на цільових системах і дозволяють здійснювати кібер-атаки. Ця тактика, що отримала назву living off the land (LoTL) («життя на підніжному кормі») дозволяє хакерам замаскувати свою діяльність під цілком безневинні процеси, ускладнюючи тим самим їхнє виявлення. Ці інструменти також значно посилюють наслідки атаки. На жаль, зловмисники можуть використовувати найрізноманітніші легітимні інструменти, які дозволяють їм досягти своїх цілей і зникнути. Для грамотного захисту від подібних атак організаціям слід обмежити доступ до окремих, що санкціонуються. інструментів адміністрування та лог-файлів у своїх оточеннях.
Щоб поліпшити здатність організації не тільки належним чином захищатися від сьогоднішніх загроз, але й підготуватися до розвитку та автоматизації майбутніх атак, необхідні інтелектуальні інструменти для запобігання аналізу загроз, які були б доступні у всій розподіленій мережі. Отримані знання допоможуть виявити тенденції, оцінити еволюцію різних методів, спрямованих на поверхню цифрової атаки, і визначити пріоритети кібергігієни, виходячи з того, на що саме спрямована діяльність зловмисників. Цінність цього аналізу та здатність вживати заходів на основі цих даних буде значно знижена у відсутності пристроїв безпеки, що дозволяють у режимі реального часу застосовувати отримані дані. Тільки за наявності масштабного, інтегрованого та автоматизованого платформного підходу до забезпечення безпеки (security fabric) можна забезпечити швидкий та масштабний захист для всього мережевого оточення, від інтернету речей та периферії до ядра мережі та мультихмарних інфраструктур.
.jpg)
