Майнеры пришли на смену шифровальщикам

    Мы в Solar JSOC на постоянной основе собираем данные о событиях и инцидентах информационной безопасности в инфраструктурах заказчиков. На базе этой информации мы раз в полгода делаем аналитику, которая демонстрирует, как меняются атаки на российские организации. Сегодня мы собрали для вас самые интересные тренды второго полугодия 2017 г.



    Итак, для начала немного общей статистики, а потом рассмотрим угрозы и вектора атак более детально.

    Всего за вторую половину 2017 года поток событий ИБ составил около 8,243 миллиардов (в первом полугодии – 6,156 миллиардов). Из них около 1 270 в сутки (всего 231 623 за полгода) – события с подозрением на инцидент, которые нуждались в рассмотрении инженера-аналитика.

    Примерно каждый шестой инцидент был классифицирован как критичный. В нашей терминологии к критичным относятся инциденты, потенциально ведущие к финансовым потерям на сумму свыше 1 млн руб., компрометации конфиденциальной информации или остановке критичных бизнес-систем.

    В этом раз мы сравнили показатели всех ключевых метрик за 4 года, и кое-где это дало любопытные результаты. Например, оказалось, что с каждым годом доля критичных инцидентов неуклонно растет. Если в первом полугодии 2015 года этот показатель составлял 8,1%, то во втором полугодии 2017 – уже 15,5% (при увеличении числа заказчиков).
    Число атак на компании с 2014 года увеличилось в среднем на 26%.


    Большая часть всех инцидентов (86,7%) происходила днем, однако, если говорить о критичных внешних инцидентах, то в 58,7% случаев они происходили ночью. Это самый высокий показатель за последние четыре года.



    Это явление вполне объяснимо: с большой вероятностью ночной инцидент детектируют не сразу, и у киберпреступников будет больше времени для закрепления в инфраструктуре или даже для проникновения в целевые сегменты, позволяющие монетизировать атаку.

    Kill Chain


    Отдельно мы рассматриваем инциденты, составляющие Kill Chain – цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. Классическая и самая часто встречающаяся схема Kill Chain выглядит так:


    Казалось бы, рядовым пользователям постоянно твердят об угрозах, исходящих из Сети. Тем не менее, социальная инженерия до сих пор остается поразительно эффективной. Во втором полугодии 2017 года в 65% случаев именно она использовалась для проникновения в инфраструктуру компании. При этом еще в первой половине года этот показатель равнялся 54%. Пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам, тем самым скачивая вредоносное ПО, которое служило целям киберпреступников.

    Говоря о вредоносном ПО, можем отметить, что число заражений вирусами-шифровальщиками по сравнению с первым полугодием 2017 снизилось примерно на треть. Но их место быстро заняли вирусы-майнеры.

    Любопытно, что в отношении майнингового ПО прослеживается определенная отраслевая специфика. Так, в банках они чаще всего обнаруживаются на рабочих станциях, которые были заражены через почту или зараженные сайты и, как правило, в рамках пакетов вредоносного ПО.

    За пределами финансового сектора ситуация обстоит иначе: в среднем в каждой третьей организации мы фиксируем инциденты, когда майнеры на серверном оборудовании компании устанавливают непосредственно сотрудники ИТ-департамента.

    В целом внешние злоумышленники чаще всего атакуют веб-приложения организаций (32,3%), в 22,8% они прибегают к brute-force и компрометации учетных данных внешних сервисов клиента, еще в 22,1% случаев – пытаются внедрить в организацию вредоносное ПО.


    Инциденты, связанные с действиями внутренних злоумышленников, распределились следующим образом: утечки конфиденциальных данных – 48,2%, компрометация внутренних учетных записей – 22,6%, нарушение политик доступа в интернет – 8,2%. Заметим, что утечки – это почти половина от всех внутренних инцидентов. Видимо, желание повысить свою ценность в глазах других потенциальных работодателей часто оказывается непреодолимым.


    Во второй половине 2017 года существенно (с 25,6% до 31,3%) возросло количество инцидентов, виновниками которых были ИТ-администраторы компаний. Сюда относятся и утечки конфиденциальной информации, и несоблюдение политик информационной безопасности ИТ-подразделением. Можно предположить, что такие цифры связаны со слабым контролем над этими сотрудниками (или умением ИТ-специалистов обходить технические средства защиты).


    Кроме того, какое-то время назад мы рассказывали, как правильно выстроить процесс использования внешних источников данных об угрозах. Вот какие типы Threat Intelligence используем мы сами:

    • Opensource – открытые базы индикаторов вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
    • Reputation feeds – платные подписки на репутационные списки вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
    • APT/IOC reporting – платные подписки на подробные описания 0day вредоносных тел, включающие, в том числе, и описание используемых уязвимостей, и хостовые индикаторы вредоносного ПО.
    • Information Exchange – информация, полученная в рамках информационных обменов с госсударственными, ведомственными и иностранными центрами реагирования на инциденты (CERT).
    • Internal Solar JSOC database – индикаторы, полученные в результате собственных исследований Solar JSOC или расследований инцидентов.
    • User experience – информация, полученная напрямую от пользователей клиентов (успешное противодействие социальной инженерии, детектирование фишинговых рассылок и т.п.).

    И вот какие из них были наиболее полезны во втором полугодии 2017:

    • +23
    • 5.3k
    • 8
    Ростелеком-Солар
    216.14
    Безопасность по имени Солнце
    Share post

    Comments 8

      +4

      Хм, а можно ведь взять лучшее из двух миров — например, шифровать диск, а затем запускать на этом же компьютере майнер и не отдавать файлы пока не намайнится. Ну и как в мобильных игрушках — "но если вы не хотите ждать, можете заплатить вот туточки".

        0
        Да, сильный ход)
          0
          Надо запомнить
            +1
            Вам надо бы это запатентовать.
              0
              «но если вы не хотите ждать, можете заплатить вот туточки».


              Или посмотрите рекламку вот туточки.
              +1

              Ну в целом логичная тенденция, скрытый майнер может работать достаточно долго, да может быть копейки намайнит, но как говорится "с паршивой овцы хоть шерсти клок". С вымогательством вообще можно ничего не заработать, а тут гарантированный заработок.
              Вот интересно… А майнинг с помощью вируса, как квалифицируется законом?

                0

                Как неправомерный доступ к компьютеру

                  0

                  Ну у нас нет такого понятия в законах :-) Должно быть вы имеете ввиду "неправомерный доступ к компьютерной информации", но это совсем другое. Тут же по сути не изменяется ничего, не копируется и не блокируется, просто подсадка майнера, который конечно может доставить не удобства, но крайне сложно доказать, что вообще был ущерб, а без ущерба, нет дела.

              Only users with full accounts can post comments. Log in, please.