Сложных атак на банки становится все больше
08 июль 2019 05:40 #83289
от ICT
ICT создал тему: Сложных атак на банки становится все больше
Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 году составил не менее 44 млн рублей, а от атак группы Silence - не менее 14,4 млн рублей. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.
Такие данные приводят специалисты ФинЦЕРТ Банка России, а также ряда российских компаний, специализирующихся на информационной безопасности – таких, как Positive Technologies, Group-IB и Solar JSOC, представив сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 год. В отчете также отмечается, что несмотря на общий рост числа атак в 2018 году, финансовый ущерб значительно снизился по сравнению с предыдущим годом. "Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ", - указывается в отчете. Вместе с тем, согласно отчету, три четверти банков сегодня уязвимы для атак методами социальной инженерии. "В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% - вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", - сообщается в отчете. Помимо того, как указывается в отчете, далека от совершенства сегодня безопасность внутренней сети банков. "Наиболее частые проблемы в конфигурации серверов - несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков", - заявляется в отчете. Авторы отчета также отмечают, что низким остается уровень защищенности мобильных приложений. "Уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей", - сообщается в отчете. Кроме того, в документе отмечается оперативность APT-группировок, которые быстро применяют новые возможности в своей деятельности. "Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 год выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ. Другая APT-группа - RTM, на счету которой 59 рассылок в 2018 году, - использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации новых доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о новых управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки)", - информируют авторы отчета. Заместитель генерального директора компании Positive Technologies Борис Симис о ситуации с информационной безопасностью в финансово-кредитной сфере сказал следующее: "Несмотря на то, что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям сегодня нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача - максимально сократить время его присутствия в инфраструктуре и лишить его возможности действовать". В пресс-службе компании "Ростелеком-Solar" корреспонденту ComNews сообщили некоторые данные исследования кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 – начале 2019 года Solar JSOC, являющегося частью отчета ФинЦЕРТ Банка России. "Всего за 2018 год Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тыс. компьютерных атак. Доля критичных инцидентов – то есть таких, которых способны привести к остановке деятельности или потерям на сумму свыше 1 млн рублей – составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, – на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 году количество попыток вывода денежных средств из банков может вырасти в два раза", - указывается в исследовании. При этом директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком- Solar" Владимир Дрюков обращает внимание, что банковская инфраструктура сегодня остается одной из самых защищенных, но и самых привлекательных для киберпреступников – за счет большого числа способов быстрой монетизации взлома. "Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка", - отмечает Владимир Дрюков. Большие опасения, как указывается в исследовании Solar JSOC, вызывает безопасность систем дистанционного банковского обслуживания в России. "В рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении", - сообщается в исследовании. В нем также указывается: "Однако основную опасность представляет "социальный" вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку – в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию – обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто". В первой половине 2018 года, как отмечается в исследовании, через фишинговые письма, как правило, распространялся троян Dimnie. "Во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 года показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы", - рассказывается в исследовании. Авторы исследования также отмечают, что усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. "Во второй половине 2018 года аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и "песочниц". Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора", - указывается в исследовании. При этом авторы исследования обращают внимание, что, несмотря на активную борьбу с массовыми атаками в 2017-2018 годах, темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. "Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта", - заявляется в исследовании. В пресс-службе Group-IB с корреспондентом ComNews поделились рядом данных Центра реагирования на инциденты кибербезопасности CERT-GIB. "Российская доменная зона, по итогам 2018 года, достигла рекордных показателей по снижению объема токсичных сайтов. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 году доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности" - указывают в центре CERT-GIB. При этом в центре добавляют: "Интересно, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня "New gTLD" (.online; .website; .space и т.д.)". Такой тренд, как заявляют в CERT-GIB, объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. "Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом", - отмечают в CERT-GIB.
Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, как указывают в CERT-GIB, увеличилось на 44% по сравнению с 2017 годом. "Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4,5 тыс. сайтов, использующихся в целях фишинга", - сообщают в CERT-GIB - Однако, только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно". Электронная почта, как указывают в CERT-GIB, окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения (ВПО) в 2018 году. "Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%", - сообщают в CERT-GIB, добавляя, что одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. "Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле – нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь "переехать" на другой", - рассказывают в CERT-GIB. В центре также делятся подробностями отправки злоумышленниками писем, содержащих ВПО: "Как и в 2017 году, в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно – на 10%. Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB. Вызывает удивление, что в 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exeфайлов пришлось 12% всех проанализированных вредоносных объектов". В целях обхода традиционных систем обнаружения вредоносных рассылок, как указывают в CERT-GIB, злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. "CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО", - информируют в CERT-GIB, добавляя, что другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. "На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже "разрешил" доставку письма", - сообщают в CERT-GIB. При этом заместитель руководителя CERT-GIB Ярослав Каргалев замечает, что все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами. "Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус", - отмечает Ярослав Каргалев. Соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS), как заявляют в CERT-GIB, к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. "Статистика показывает, что в IV квартале 2018 года почти половина всех фишинговых ресурсов использует именно "безопасное соединение", - сообщают в CERT-GIB. В свою очередь Ярослав Каргалев добавляет, что пользователям не стоит полагаться на тип соединения, используемый сайтом в качестве критерия его безопасности. "Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно", - добавляет Ярослав Каргалев. Ссылка на источник
Такие данные приводят специалисты ФинЦЕРТ Банка России, а также ряда российских компаний, специализирующихся на информационной безопасности – таких, как Positive Technologies, Group-IB и Solar JSOC, представив сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 год. В отчете также отмечается, что несмотря на общий рост числа атак в 2018 году, финансовый ущерб значительно снизился по сравнению с предыдущим годом. "Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ", - указывается в отчете. Вместе с тем, согласно отчету, три четверти банков сегодня уязвимы для атак методами социальной инженерии. "В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% - вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", - сообщается в отчете. Помимо того, как указывается в отчете, далека от совершенства сегодня безопасность внутренней сети банков. "Наиболее частые проблемы в конфигурации серверов - несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков", - заявляется в отчете. Авторы отчета также отмечают, что низким остается уровень защищенности мобильных приложений. "Уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей", - сообщается в отчете. Кроме того, в документе отмечается оперативность APT-группировок, которые быстро применяют новые возможности в своей деятельности. "Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 год выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ. Другая APT-группа - RTM, на счету которой 59 рассылок в 2018 году, - использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации новых доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о новых управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки)", - информируют авторы отчета. Заместитель генерального директора компании Positive Technologies Борис Симис о ситуации с информационной безопасностью в финансово-кредитной сфере сказал следующее: "Несмотря на то, что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям сегодня нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача - максимально сократить время его присутствия в инфраструктуре и лишить его возможности действовать". В пресс-службе компании "Ростелеком-Solar" корреспонденту ComNews сообщили некоторые данные исследования кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 – начале 2019 года Solar JSOC, являющегося частью отчета ФинЦЕРТ Банка России. "Всего за 2018 год Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тыс. компьютерных атак. Доля критичных инцидентов – то есть таких, которых способны привести к остановке деятельности или потерям на сумму свыше 1 млн рублей – составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, – на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 году количество попыток вывода денежных средств из банков может вырасти в два раза", - указывается в исследовании. При этом директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком- Solar" Владимир Дрюков обращает внимание, что банковская инфраструктура сегодня остается одной из самых защищенных, но и самых привлекательных для киберпреступников – за счет большого числа способов быстрой монетизации взлома. "Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка", - отмечает Владимир Дрюков. Большие опасения, как указывается в исследовании Solar JSOC, вызывает безопасность систем дистанционного банковского обслуживания в России. "В рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении", - сообщается в исследовании. В нем также указывается: "Однако основную опасность представляет "социальный" вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку – в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию – обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто". В первой половине 2018 года, как отмечается в исследовании, через фишинговые письма, как правило, распространялся троян Dimnie. "Во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 года показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы", - рассказывается в исследовании. Авторы исследования также отмечают, что усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. "Во второй половине 2018 года аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и "песочниц". Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора", - указывается в исследовании. При этом авторы исследования обращают внимание, что, несмотря на активную борьбу с массовыми атаками в 2017-2018 годах, темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. "Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта", - заявляется в исследовании. В пресс-службе Group-IB с корреспондентом ComNews поделились рядом данных Центра реагирования на инциденты кибербезопасности CERT-GIB. "Российская доменная зона, по итогам 2018 года, достигла рекордных показателей по снижению объема токсичных сайтов. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 году доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности" - указывают в центре CERT-GIB. При этом в центре добавляют: "Интересно, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня "New gTLD" (.online; .website; .space и т.д.)". Такой тренд, как заявляют в CERT-GIB, объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. "Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом", - отмечают в CERT-GIB.
Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, как указывают в CERT-GIB, увеличилось на 44% по сравнению с 2017 годом. "Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4,5 тыс. сайтов, использующихся в целях фишинга", - сообщают в CERT-GIB - Однако, только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно". Электронная почта, как указывают в CERT-GIB, окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения (ВПО) в 2018 году. "Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%", - сообщают в CERT-GIB, добавляя, что одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. "Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле – нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь "переехать" на другой", - рассказывают в CERT-GIB. В центре также делятся подробностями отправки злоумышленниками писем, содержащих ВПО: "Как и в 2017 году, в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно – на 10%. Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB. Вызывает удивление, что в 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exeфайлов пришлось 12% всех проанализированных вредоносных объектов". В целях обхода традиционных систем обнаружения вредоносных рассылок, как указывают в CERT-GIB, злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. "CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО", - информируют в CERT-GIB, добавляя, что другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. "На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже "разрешил" доставку письма", - сообщают в CERT-GIB. При этом заместитель руководителя CERT-GIB Ярослав Каргалев замечает, что все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами. "Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус", - отмечает Ярослав Каргалев. Соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS), как заявляют в CERT-GIB, к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. "Статистика показывает, что в IV квартале 2018 года почти половина всех фишинговых ресурсов использует именно "безопасное соединение", - сообщают в CERT-GIB. В свою очередь Ярослав Каргалев добавляет, что пользователям не стоит полагаться на тип соединения, используемый сайтом в качестве критерия его безопасности. "Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно", - добавляет Ярослав Каргалев. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.