Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего дома и потерявшего бдительность работника, каждую незамеченную веб-уязвимость. А главное – хакеры взяли в полноценный оборот метод supply chain, с помощью которого успели совершить самую громкую атаку года. В итоге для злоумышленников год оказался очень даже насыщенным. В 2020 году Solar JSOC зафиксировал 1,9 млн кибератак (на 73% больше, чем в 2019-м), а доля критических инцидентов выросла на 20%. Подробнее о том, как и зачем совершали атаки на компании в 2020 году – в нашем посте.
Как мы это считаем
Вся представленная здесь статистика относится к нашим заказчикам, а это более 130 организаций из разных отраслей: госсектор, финансы, нефтегаз, энергетика, телеком, ритейл. Все компании представляют сегмент large enterprise и enterprise cо средним количеством сотрудников от 1000 человек и оказывают услуги в разных регионах страны.
Наша задача – выявить действия злоумышленника еще на подступах и не допустить успешной атаки. Поэтому нам сложно оценить, какая конечная цель была у хакера: прямая нажива, сбор чувствительных данных, закрепление в инфраструктуре для дальнейшей продажи ресурсов, хактивизм… Дабы сделать взвешенный анализ происходящего, мы использовали комбинированную методику, которая опирается на особенности атаки, а также на наши подходы в определении типов злоумышленников. При выявлении инцидентов на ранней стадии мы учитывали техники и методики атаки, функционал вредоносного ПО, атрибуцию и данные о хакерской группировке и т.д.
Наша классификация типов злоумышленников
Категория нарушителя | Типовые цели | Возможности нарушителя |
Автоматизированные системы | Взлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атаках | Автоматизированное сканирование |
Киберхулиган/Энтузиаст-одиночка | Хулиганство, нарушение целостности инфраструктуры | Официальные и Open Source инструменты для анализа защищенности |
Киберкриминал / Организованные группировки | Приоритетная монетизация атаки: шифрование, майнинг, вывод денежных средств | Кастомизированные инструменты, доступное ВПО, доступные уязвимости, социальный инжиниринг |
Кибернаемники / Продвинутые группировки | Нацеленность на заказные работы, шпионаж в интересах конкурентов, последующая крупная монетизация, хактивизм, деструктивные действия | Самостоятельно разработанные инструменты, приобретенны 0-day-уязвимости |
Кибервойска / Прогосударственные группировки | Кибершпионаж, полный захват инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизм | Самостоятельно найденные 0-day-уязвимости, разработанные и внедренные «закладки» |
Иногда у новых подключаемых заказчиков мы выявляли атаки в фазе распространения, в этом случае на скомпрометированных хостах мы учитывали: их территориальную распределенность, функционал, возможности реализации одной из вышеприведенных целей, динамику и вектор движения киберпреступника.
Если в рамках расследования инцидентов у клиентов, не использующих сервисы Solar JSOC, выявлялись атаки на финальной стадии, то ключевым критерием, определяющим вектор атаки, становились данные о фактическом ущербе.
Из статистики мы исключили так называемые простые атаки, не ведущие к реальным инцидентам ИБ: деятельность бот-сетей, сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей.
Контроль и немного денег
Уже не первый год основной целью злоумышленников становится контроль над инфраструктурой жертвы. За год количество таких атак увеличилось на 30%. В первую очередь из-за возросшей активности кибернаемников и группировок, спонсируемых иностранными государствами. Их цель – шпионаж или максимально скрытое закрепление в инфраструктуре для дальнейших деструктивных действий в нужный момент.
Чуть популярнее (примерно на 10% в сравнении с предыдущим годом) стала кража денег. Кстати, в 2019 году доля таких атак сокращалась, что мы связывали с повышением уровня защищенности в кредитно-финансовой сфере. К сожалению, строгость банковской безопасности в условиях удаленки «компенсировалась» необязательностью ослаблением ее возможностей, да и бюджетирование ИБ в 2020-ом, прямо скажем, снизилось.
Подрядчик - слабое звено
В 2020 году в качестве отдельного тренда мы впервые выделили атаки через подрядчиков (supply chain). Этот путь в инфраструктуру жертвы злоумышленники используют, конечно, не первый год, но именно в 2020-ом такая техника взлома показала двукратный рост и, возможно, совсем скоро станет главной «болью» всех ибэшников. Достаточно вспомнить, сколько шума было вокруг атаки на SolarWinds, в результате которой пострадали Microsoft, Cisco, FireEye и несколько ключевых министерств и ведомств США. Явно тянет на премию «Киберинцидент года».
Доля атак supply chain пока невелика, однако именно таким способом профессиональные злоумышленники взламывают ключевые организации страны: органы власти и объекты КИИ. Рост популярности метода указывает не просто на изменение технической специфики атак, но на формирование новой ключевой киберугрозы на государственном уровне (уж простите за пафос).
С одной стороны, этот тренд объясняется ростом числа более сложных целенаправленных атак. С другой – все чаще организации отдают на аутсорсинг часть внутренних процессов бог весть кому, не проверяя благонадежность подрядчика и его уровень киберзащиты. Да и, будем честны: мало кто сегодня проводит регулярный аудит своей инфраструктуры (которая значительно усложнилась в последние годы). А значит, незащищенные узлы, которыми пользуются или пользовались раньше подрядные организации, могут довольно долго оставаться незаметными для служб ИБ. Но не для атакующих.
Тренды ВПО
Самым популярным инструментом внешних злоумышленников остаются атаки с использованием вредоносов. Их доля в 2020 году составила 39%, что на четверть превышает показатель 2019 года. Среди ВПО все более популярными становятся шифровальщики (количество атак, где они применялись, выросло примерно на 30%).
Еще немного о ВПО:
Третий год подряд абсолютным лидером был банковский троян RTM, который составляет почти половину всего ВПО, используемого профессиональными группировками. Второе место (почти четверть) заняло семейство Emotet, которое также ориентировано на банковский сектор.
Стоит отметить продажу исходников вредоносного кода шифровальщика Dharma, которые во второй половине 2020 года получили распространение в самых разных модификациях.
В части инструментов закрепления все чаще использовались механизмы автозагрузки или создание собственных системных служб. Эти методы были популярны как у киберкриминала, так и у более профессиональных группировок.
Активнее использовались бесплатные или свободно распространяемые утилиты – уже более чем в 40% атак. В список популярного инструментария злоумышленников также попали утилиты от Nirsoft.
В атаках на веб-приложения при загрузке веб-шелла часто использовалась «родная» для него среда с минимальным внедрением сторонних модулей, что сильно затрудняло детектирование. В одном из кейсов 2020 года злоумышленник применил powershell-скрипты для взаимодействия с шеллом, а команды передавал по DNS-туннелю на легитимный сайт (ceye.io), созданный ИБ-сообществом для тестирования корпоративных систем.
У некоторых наших заказчиков из кредитно-финансовой сферы фиксировались рассылки ВПО Zloader. Пользователи получали документ Excel, при открытии которого запускались определенные формулы в ячейках, выполняющие необходимые действия, включая антианализ и загрузку ВПО. Сами формулы были разбросаны по огромному листу, чтобы их было труднее заметить и проанализировать. Стоит отметить, что технология макросов Excel 4.0 считается устаревшей и сейчас почти не используется.
Больше фишинга
Здесь без сюрпризов: фишинг был, есть и будет самым популярным способом доставки ВПО на машину жертвы. С него в 2020 году начинались 75% атак профессиональных злоумышленников. Естественно, последние активно спекулировали на теме пандемии и лекарства от COVID-19: вредоносные письма имитировали официальную рассылку с информацией о распространении коронавируса, вводимых ограничениях, вакцинации сотрудников и т. п. При этом эффективность подобных атак увеличилась на фоне перехода на удаленный режим работы (снизился контроль за доступом сотрудников в интернет, домашние незащищенные устройства использовались для работы, сами пользователи потеряли бдительность на фоне общей паники и сложностей, связанных с самоизоляцией).
Больше атак внешних злоумышленников
Типы атак | 1-е полугодие 2019 | 2-е полугодие 2019 | 1-е полугодие 2020 | 2-е полугодие 2020 |
Вредоносное ПО (ВПО) | 30,7% | 32,6% | 38,5% | 35,2% |
Атаки на веб-приложения | 33,8% | 34,6% | 33,2% | 34,2% |
Brute force и компрометация учетных данных внешних сервисов клиента | 19,8% | 18,7% | 14,2% | 13,6% |
DDoS-атаки | 5,3% | 4,2% | 4,4% | 5,8% |
Атаки на управляющие протоколы систем | 4,8% | 4,9% | 4,3% | 4,1% |
Прочие внешние атаки: атаки на сетевой стек, уязвимости DNS, нарушение защищенного периметра, фишинг | 2,7% | 2,2% | 2,5% | 2,9% |
Компрометация административных учетных записей | 2,1% | 1,6% | 1,8% | 2,6% |
Эксплуатации прочих уязвимостей | 0,8% | 1,2% | 1,1% | 1,6% |
Работники без контроля
Начиная с 2017 года количество внутренних инцидентов сокращалось, но пандемия все изменила, и мы, увы, вновь увидели рост таких нарушений. Причем более 60% из них совершают простые смертные обычные работники.
В топе нарушений – утечки информации. Некоторые умники и раньше искали дополнительный источник дохода в виде хищения и слива корпоративных данных. Но в условиях удаленки число таких «находчивых» увеличилось: сотрудники стали совершать нарушения, на которые не решились бы в офисе. Кто-то совершал подобные действия непреднамеренно – из-за криво настроенных систем удаленного доступа или банальной невнимательности.
Из-за снижения контроля со стороны ИБ-служб стало больше нарушений политик доступа в интернет. Тут вам и серфинг по подозрительным сайтам с рабочего ноута, и нелегитимный доступ к закрытым ресурсам компании из-за сложностей сегментирования корпоративной сети на базе VPN.
Зато сократились инциденты по использованию RAT (remote admin tool, средства удаленного администрирования). Но радоваться не стоит - в пандемию этот инструмент практически не использовался в организациях, а, значит, и хакерам был не особо интересен.
Что еще нарушали
Типы атак | 1-е полугодие 2019 | 2-е полугодие 2019 | 1-е полугодие 2020 | 2-е полугодие 2020 |
Утечки конфиденциальных данных | 49,4% | 50,2% | 52,2% | 53,4% |
Компрометация внутренних учетных записей | 19,3% | 17,9% | 14,1% | 12,3% |
Нарушение политик доступа в интернет | 9,2% | 8,2% | 10,2% | 11,4% |
Использование хакерских и потенциально вредоносных утилит | 6,4% | 7,3% | 7,5% | 7,8% |
Нелегитимные изменения в ИТ-системах: деятельность аутсорсеров и подрядчиков, в том числе несогласованные работы, приводящие к простою критически важных бизнес-систем | 4,5% | 5,6% | 5,8% | 5,4% |
Использование инструментов для удаленного доступа (remote admin tools) или туннелирования трафика | 6,8% | 7,2% | 6,3% | 5,1% |
Несанкционированные активности в рамках удаленного доступа (VPN), в том числе построение цепочки сессий до запрещенного сервера, выгрузка данных на внешний компьютер | 1,3% | 0,6% | 1,8% | 3,0% |
Нелегитимные работы под привилегированными учетными записями | 2,4% | 2,6% | 1,7% | 1,3% |
Прочее | 0,7% | 0,4% | 0,4% | 0,3% |
Больше подробностей - на нашем вебинаре
В понедельник, 5 апреля ждем всех на вебинар "Эволюция киберугроз: кто и как атаковал российские компании в 2020". Вспомним и разберем самые громкие атаки прошедшего года, расскажем про наши источники Threat Intelligence и обсудим, что ждать в 2021-ом. Присоединяйтесь по ссылке, там же оставляйте свои вопросы и комментарии по теме.
