Solar Security повідомила про прихід майнерів на зміну шифрувальникам

Solar Security, розробник продуктів та сервісів для цільового моніторингу та оперативного управління інформаційною безпекою, опублікував зведений звіт Solar JSOC Security flash report за друге півріччя 2017 р.

У другій половині 2017 р. середній потік подій ІБ становив 8,243 млрд подій (у першому півріччі – 6,156 млрд). З них близько 1,27 тис. за добу – події з підозрою на інцидент (231,623 тис. за півроку). Це приблизно на 28% більше, ніж у першому півріччі 2016 р. Приблизно кожен шостий інцидент був класифікований як критичний – тобто потенційно провідний до фінансових втрат на суму понад 1 млн руб., компрометацію конфіденційної інформації або зупинення критичних бізнес-систем. З кожним роком частка критичних інцидентів невпинно зростає. Якщо в у першому півріччі 2015 р. цей показник становив 8,1%, то у другому півріччі 2017 – вже 15,5%.

Кількість атак на компанії з 2014 р. збільшилася в середньому на 26%. У другій половині 2017 р. більша частина всіх інцидентів (86,7%) відбувалася вдень, проте якщо говорити про критичні зовнішні інциденти, то в 58,7% випадків вони відбувалися вночі. Це найвищий показник за останні чотири роки.

Особливо у звіті розглядаються інциденти, що становлять Kill Chain – ланцюг послідовних дій кіберзлочинця, спрямованих на злам інфраструктури та компрометацію ключових ресурсів компанії. У другій половині 2017 р. першим етапом складної атаки найчастіше служила соціальна інженерія (65% проти 54% у першому півріччі 2017 року). Користувачі відкривали шкідливі вкладення і проходили за фішинговими посиланнями, тим самим завантажуючи шкідливе програмне забезпечення, яке служило цілям кіберзлочинців.

Дослідники окремо відзначають різке розповсюдження програмного забезпечення для майнінгу криптовалют поряд із настільки ж помітним скороченням інцидентів, пов'язаних із вірусами-шифрувальниками. Кількість останніх знизилася приблизно на третину. Серед можливих причин наводяться скорочення кількості масових атак, а також зміщення фокусу зловмисників з деструктивного впливу на інформаційні системи організацій у бік більш прямої монетизації атак (наприклад, з використанням тих самих майнерів).

Цікаво, що щодо майнінгового ПЗ помітна певна галузева специфіка заражень. Так, у банках майнери найчастіше виявляються на робочих станціях, куди вони доставляються в рамках пакетів шкідливого програмного забезпечення через пошту або заражені сайти. За межами фінансового сектора ситуація інакше: у середньому в кожній третій організації ми фіксуємо інциденти, коли майнери на серверному устаткуванні компанії встановлюють безпосередньо співробітники ІТ-департаменту.

Загалом зовнішні зловмисники найчастіше атакують веб-додатки організацій (32,3%), у 22,8% вони вдаються до brute-force та компрометації облікових даних зовнішніх сервісів клієнта, ще у 22,1% випадків – намагаються запровадити в організацію шкідливе ПЗ.

Інциденти, пов'язані з діями внутрішніх зловмисників, розподілилися таким чином: виток конфіденційних даних – 48,2%, компрометація внутрішніх облікових записів – 22,6%, порушення політик доступу до інтернету – 8,2%.

У другій половині 2017 р. суттєво (з 25,6% до 31,3%) зросла кількість інцидентів, винуватцями яких були ІТ-адміністратори компаній. Сюди відносяться і витікання конфіденційної інформації, і недотримання інформаційної політики безпеки ІТ-підрозділом, що найчастіше викликано слабким контролем над ним або вмінням ІТ-фахівців обходити технічні засоби захисту.