Microsoft

Корпорация Microsoft опубликовала отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 г.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 г. по январь 2018 г., достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в 1-м квартале 2017 г. был почти в два раза меньше — 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие — в Финляндии, Дании, Ирландии и США (11,4% или ниже).

Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 г. по январь 2018 г. вырос с 6 до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т. д.) составили менее 1%.

В ноябре 2017 г. совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО — ботнета Gamarue, также известного как Andromeda; это хакерский инструмент, распространявшийся как платный сервис для киберпреступников. Отдел по расследованию цифровых преступлений Microsoft (Digital Crimes Unit, DCU) проанализировал более 44 000 образцов вредоносного кода и выяснил, что в арсенале Gamarue было более 80 различных типов вредоносного ПО. Тремя основными классами вредоносного ПО, распространявшимися через бот-сеть Gamarue, были программы-вымогатели (в частности, Petya), трояны и бэкдоры. С помощью вирусов Gamarue злоумышленники могли красть данные учетных записей, запускать в зараженных системах другие вредоносные программы, отслеживать происходящее на мониторе (движение мышки или набираемые символы на клавиатуре жертвы) и многое другое.

Из-за нарушения работы этой инфраструктуры уже в следующие три месяца количество инфицированных устройств снизилось на 30% (с 17 до 12 млн). Количество IP-адресов, имеющих отношение к сети Gamarue и перенаправленных на созданный совместно с органами правопорядка сервер sinkhole, в России составило 22,5 тыс. Всего в мире количество таких IP-адресов составило 29,48 млн.

Тем не менее ботнеты продолжают оставаться серьезной угрозой для пользователей по всему миру. Microsoft активно содействует в помощи пользователям зараженных устройств в рамках деятельности ассоциации Virus Information Alliance, а также постоянно совершенствует защитные механизмы своих продуктов, используя машинное обучение для проактивной блокировки новых видов атак.

В 2017 г. методы получения «легкой добычи», такие как фишинг, использовались для получения учетных данных и другой конфиденциальной информации от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP), фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 г. (53%), ежемесячно обнаруживались 180-200 млн фишинговых писем. В России, в частности, было обнаружено 7,01 (в мире — 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).

Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование облачных приложений, не применяющих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).

Еще одна тенденция второй половины 2017 г. — киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.

Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остается привлекательной стратегией для злоумышленников. В 2017 г. три вспышки вирусов-вымогателей — WannaCrypt, Petya/NotPetya и BadRabbit — стали причиной заражения множества корпоративных сетей, в том числе в больницах, транспортных системах и системах управления дорожным движением. Атаки программ-вымогателей, которые мы наблюдали в прошлом году, были крайне разрушительными и развивались стремительно, оставляя большую часть жертв без доступа к своим файлам на длительное время.

В России в среднем 0,13% устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14%. Чаще всего с таким видом угроз сталкивались пользователи в Азии. Самая высокая частота обнаружения вирусов-вымогателей — в Мьянме (0,48%), Бангладеше (0,36%) и Венесуэле (0,33%). Ниже всего этот показатель оказался в Японии, Финляндии и США (0,03%).

* Отчет базируется на данных, полученных защитными программами и сервисами компании. Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации. Отчет посвящен трем темам: ботнетам, популярным методам хакерских атак и вирусам-вымогателям. Целью публикации отчета является повышение осведомленности корпоративных и частных пользователей о существующих угрозах и методах противодействия им.