Microsoft представила 23-й звіт Security Intelligence Report, в якому проаналізувала інформаційне середовище щодо поширеності та видів кіберзагроз. Згідно з даними з лютого 2017 по січень 2018 року, від 25% до 30% пристроїв стикалися з кіберзагрозами щомісяця^[1]< em>. 

Корпорація Microsoft опублікувала звіт про погрози інформаційної безпеки Security Intelligence Report за період із лютого 2017 року. Він базується на даних, отриманих захисними програмами та сервісами компании[2]. Інформація була надана корпоративними та приватними користувачами, які погодилися ділитися з прив'язкою до геолокації.

Звіт присвячений трьом темам: ботнетам, популярним методам атак хакерів і вірусам-вимагачам. Метою публікації звіту є підвищення обізнаності корпоративних та приватних користувачів про існуючі загрози та методи протидії їм.

Широке поширення ботнетів і вірусів-здирників призвело до того, що кількість пристроїв, що зіткнулися з кіберзагрозами в період з лютого 2017 року по січень 2018 року, досягла 25-30% у середньому на місяць, тоді як аналогічний показник у першому кварталі 2017 року року був майже вдвічі меншим – 15%. Найвищі показники були зафіксовані у Пакистані, Непалі, Бангладеш та Україні (33,2% або вище), найнижчі – у Фінляндії, Данії, Ірландії та США (11,4% або нижче).

Згідно з даними Windows Defender Security Intelligence, найчастіше зустрічається категорією небажаного ПЗ стали трояни. Відсоток їх поширення з лютого 2017 року до січня 2018 року зріс з 6% до 10%. Показники інших видів шкідливого ПЗ (дроперів, обфускаторів, вірусів-вимагачів тощо) склали менше 1%.

Ботнети 

У листопаді 2017 року спільно з ESET і правоохоронними органами Microsoft знищила командну інфраструктуру однієї з найбільших мереж поширення шкідливого ПЗ - ботнета Gamarue, також відомого як Andromeda; це хакерський інструмент, що розповсюджувався як платний сервіс для кіберзлочинців. Відділ із розслідування цифрових злочинів Microsoft (Digital Crimes Unit, DCU) проаналізував понад 44 000 зразків шкідливого коду та з'ясував, що в арсеналі Gamarue було понад 80 різних типів шкідливого програмного забезпечення. Трьома основними класами шкідливого програмного забезпечення, що розповсюджувалися через бот-мережу Gamarue, були програми-вимагачі (зокрема, Petya), трояни та бекдори. За допомогою вірусів Gamarue зловмисники могли красти дані облікових записів, запускати в заражених системах інші шкідливі програми, відстежувати те, що відбувається на моніторі (рух мишки або символи, що набираються на клавіатурі жертви) і багато іншого.

Через порушення роботи цієї інфраструктури вже у наступні три місяці кількість інфікованих пристроїв знизилася на 30% (з 17 до 12 мільйонів). Кількість IP-адрес, що мають відношення до мережі Gamarue і перенаправлених на створений спільно з органами правопорядку сервер sinkhole, склала 22,5 тис. Загалом у світі кількість таких IP-адрес склала 29,48 млн.

Проте, ботнети продовжують залишатися серйозною загрозою для користувачів по всьому світу. Microsoft активно допомагає користувачам заражених пристроїв у рамках діяльності асоціації Virus Information Alliance, а також постійно вдосконалює захисні механізми своїх продуктів, використовуючи машинне навчання для проактивного блокування нових видів атак.

Поширення простих видів атак 

У 2017 році методи отримання «легкого видобутку», такі як фішинг, використовувалися для того, щоб отримати облікові дані та іншу конфіденційну інформацію від користувачів. За даними Microsoft Advanced Threat Protection (ATP) фішинг був серед найсерйозніших загроз у поштових скриньках користувачів Office 365 у другому півріччі 2017 року (53%), 180-200 мільйонів фішингових листів виявлялися щомісяця. Зокрема, було виявлено 7,01 (у світі – 5,85) фішингових сайтів на кожну 1000 хостів. Наступними за поширеністю загрозами стали завантажувачі шкідливого програмного забезпечення (29%) та Java-бекдори (11%).

Іншою мішенню для зловмисників є хмарні програми з низьким рівнем безпеки. У ході дослідження з'ясувалося, що 79% SaaS-додатків для хмарного зберігання даних і 86% SaaS-додатків для спільної роботи не забезпечують шифрування ні інформації, що зберігається, ні переданої. Для захисту корпоративної інфраструктури організації повинні обмежувати використання користувачами хмарних програм, які не використовують шифрування, та контролювати це за допомогою брокера безпеки хмарного доступу (Cloud Access Security Broker, CASB).

Ще одна тенденція другої половини 2017 року – кіберзлочинці використовують легітимні вбудовані засоби системи, щоб поширити заражений документ (наприклад, документ Microsoft Office), що міститься у фішинговому листі, та завантажити програму-вимагач. Найкращим способом уникнути такого виду загрози є своєчасне оновлення операційної системи та програмного забезпечення.

Віруси-здирники 

Вимагання криптовалюти або інших платежів із загрозою знищити всі ці жертви залишається привабливою стратегією для зловмисників. У 2017 році три спалахи вірусів-здирників – WannaCrypt, Petya/NotPetya та BadRabbit – стали причиною зараження багатьох корпоративних мереж, у тому числі в лікарнях, транспортних системах та системах управління дорожнім рухом. Атаки програм-здирників, які ми спостерігали минулого року, були вкрай руйнівними і розвивалися стрімко, залишаючи більшу частину жертв без доступу до своїх файлів на тривалий час.

У середньому 0,13% пристроїв стикалися з програмами-вимагачами на місяць, у світі цей показник дорівнює 0,14%. Найчастіше з таким видом загроз стикалися користувачі Азії. Найвища частота виявлення вірусів-вимагачів – у М'янмі (0,48%), Бангладеш (0,36%) та Венесуелі (0,33%). Найнижче цей показник опинився в Японії, Фінляндії та США (0,03%).

Ознайомитись з повним текстом нового звіту Microsoft Security Intelligence Report, а також отримати практичні рекомендації щодо захисту корпоративної мережі та приватних пристроїв можна на https://www.microsoft.com/sir.

^[1] Дані про кількість виявлених загроз, а не про випадки зараження.

[2] Джерелом даних послужили користувальницькі та комерційні локальні системи, а також глобальні хмарні сервіси Microsoft, такі як Windows, Bing, Office 365 та Azure.

Інші новини