Уязвимости и эксплойты

Сотрудники ИБ часто оказываются недостаточно подготовлены к кибератакам; даже когда классические средства предотвращения дополняются специальными анти-APT решениями, весь этот дорогостоящий комплекс может использоваться ими не на полную мощность. А из-за непонимания того, что представляет собой инцидент ИБ, атаку не удается отразить. Потому мы решили рассмотреть основные этапы организации кибератаки и реагирования на инциденты.

Все большая угроза исходит от программ-вымогателей. В период с апреля 2016 г. по март 2017 г. защитные продукты «Лаборатории Касперского» блокировали работу вымогателей на компьютерах 2 581 026 пользователей. В мае мы наблюдали развитие беспрецедентной эпидемии, вызванной вымогателем WannaCry.

По данным KSN, решения «Лаборатории Касперского» отразили 342 566 061 атаку, которые проводились с интернет-ресурсов, размещенных в 191 стране мира.

Для «оформления» своих атак фишеры готовы использовать любые громкие информационные поводы, даже самые необычные. На этот раз их внимание, следом за вниманием российских СМИ, привлекла схватка между двум российскими рэп-исполнителями.

Сегодня мы наблюдаем новый и опасный тренд: все больше и больше разработчиков вредоносного ПО и средств кибершпионажа прибегает к использованию стеганографии. Большинство решений на сегодняшний день не защищают от стеганографии или защищают слабо, меж тем, нужно понимать, что каждый заполненный контейнер опасен.

Во втором квартале стало очевидно, что угроза DDoS воспринимается так серьезно, что некоторые компании готовы заплатить злоумышленникам буквально после первого же требования, не дожидаясь атаки. Это породило целую волну мошенничества, связанного с вымогательством денег под угрозой DDoS — Ransom DDoS.

В конце 2016 года Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» сообщил о фишинговых атаках, нацеленных преимущественно на промышленные компании. Как показали дальнейшие исследования, это была лишь часть большой истории, которая началась много раньше и вряд ли скоро закончится.

Не так давно в Сети появилась новость о том, что помимо сильно нашумевшей уязвимости EternalBlue существует еще и ее младшая сестра-близнец под *nix системы — EternalRed (она же SambaCry). 30-го мая этого года наши ловушки (honeypots) зарегистрировали первую атаку с использованием SambaCry.

Месяц за месяцем мы наблюдаем непрекращающийся поток инцидентов безопасности. И этот квартал не стал исключением: вспомнить хотя бы атаки на Trust Health Barts, Sports Direct, Intercontinental Hotels Group и ABTA.

По данным KSN, решения «Лаборатории Касперского» отразили 479 528 279 атак, которые проводились с интернет-ресурсов, размещенных в 190 странах мира. Нашим файловым антивирусом зафиксировано 174 989 956 уникальных вредоносных и потенциально нежелательных объектов.

На прошлой неделе, 12 мая наши продукты обнаружили и успешно заблокировали большое количество атак троянца-вымогателя по всему миру. При этих атаках данные шифровались и получали расширение «.WCRY». Наш анализ показывает, что атака, получившая название «WannaCry», инициируется посредством удаленного выполнения кода SMBv2 в Microsoft Windows.

Первый квартал 2017 года оказался довольно спокойным, но кое-что интересное все же произошло: несмотря на набирающие силу IoT-ботнеты, в начале этого года на первое место вышли Windows-боты, принявшие участие в 59,8% всех атак.

Недавно на Wikileaks был опубликован отчет, в котором, среди прочего, были раскрыты инструменты и тактики, якобы используемые госструктурами для проникновения в компьютеры пользователей и обхода установленных средств защиты. В список скомпрометированных продуктов попали решения практически всех компаний, занимающихся информационной безопасностью.

Технологический бум в медицине не только спровоцировал переход медицинских учреждений на обработку информации исключительно информационными системами, но также привел к появлению новых типов медицинского оборудования и персональных устройств, которые могут взаимодействовать с классическими системами и сетями. А это означает, что актуальные для них угрозы могут перебраться в медицинские системы.

В среднем в течение второго полугодия 2016 года продуктами «Лаборатории Касперского» во всем мире были предотвращены попытки атак на 39,2% защищаемых нами компьютеров, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре промышленных предприятий.