Глобальный ландшафт киберугроз находится в постоянном движении: появляются новые группировки, выявляются новые тактики и техники, происходят громкие инциденты. Мы систематически собираем информацию о состоянии безопасности с помощью платформы Trend Micro Smart Protection Network (SPN), а лаборатория Trend Micro Research анализирует события, произошедшие в отрасли. В этом посте мы расскажем о наиболее значимых угрозах первой половины 2021 года.
В течение первых шести месяцев этого года мы опубликовали несколько исследований, посвященных опасным уязвимостям в различных типах устройств и операционных систем, а также атакам, в которых используются эти дефекты. Одним из примеров этого является наше расследование безопасности технологии Long Range Wide Area Network (LoRaWAN), которая широко используется в конфигурациях интернета вещей (IoT) по всему миру.
Мы также проанализировали атаки, направленные на новые устройства Apple с архитектурой ARM64, а также уязвимости в операционных системах Windows и Linux.
Аферы на пандемическую тематику переключились с самой болезни на долгожданные вакцины и их распространение.
По сравнению с первым полугодием 2020 года количество подключений к ботнетам снизилось на 36,8%, а количество командных серверов — на 73,1%.
Количество соединений с ботнетом считалось как число уникальных конечных точек, которые отправляли запросы на командные серверы или подключались к ним, а в качестве командных серверов ботнетов учитывались уникальные активные командные серверы, к которым поступали запросы или подключались конечные точки.
Количество обнаруженных соединений с ботнетом и командных серверов ботнета в первом полугодии 2021:
Стоит отметить, что уменьшение количества обнаруженных вымогательских угроз не означает, что атак стало меньше. Злоумышленники, использующие вымогатели, разумеется, никуда не делись, просто они проводят атаки в несколько этапов, причём фактический запуск вымогателей происходит на очень поздней стадии процесса заражения. Количество обнаружений программ-вымогателей снизилось, поскольку инструменты развёртывания могут быть обнаружены ещё до фактической вымогательской атаки.
В результате действия злоумышленников блокируются до того, как они дойдут до запуска шифровальщика. Но даже если программа-вымогатель развёрнута, наши системы с использованием машинного обучения блокируют её до того, как она сработает. Именно так произошло с атакой на американскую IT-компанию Kaseya.
На семейства WannaCry и Locky приходится бо́льшая часть обнаружений, что свидетельствует о сохранении тенденции, которую мы освещали в нашем ежегодном обзоре 2020 года. WannaCry — легендарный вымогатель, который известен с 2017 года. В 2021 году количество обнаружений WannaCry заметно снизилось. Долговечность этого семейства показывает, как долго сетевой червь может существовать, если устройства не исправлены должным образом, даже если авторы атаки уже ее не поддерживают.
DarkSide, Nefilim и Conti также входят в десятку лучших семейств, обнаруженных за этот период, и значительно выделяются по масштабам атак, инструментам и методам.
Что касается отраслей, на которые были направлены атаки, то операторы вымогателей сфокусировались на тех же секторах, что и в прошлом году: больше всего пострадали банковские, правительственные и производственные организации. Мы наблюдали резкий рост атак вымогателей на банковские группы.
Вымогатель Nefilim продолжал атаковать компании с годовым доходом в миллиарды долларов. Это наиболее характерная модель для всех современных вымогателей.
В мае вымогательская группировка DarkSide вывела из строя компанию Colonial Pipeline, ответственную за снабжение топливом почти половины Восточного побережья США. В результате Федеральное управление безопасности автоперевозчиков (FMCSA) было вынуждено объявить чрезвычайное положение в 18 штатах США, чтобы помочь справиться с нехваткой топлива. Инцидент был настолько значительным, что породил группу, которая выдавала себя за DarkSide и рассылала электронные письма с вымогательством на общие адреса электронной почты компаний.
Также существовала DarkSide Linux, ещё одна версия программы-вымогателя, нацеленная на файлы виртуальных машин VMware ESXI. Она убивает виртуальные машины, шифрует файлы, собирает системную информацию и отправляет на удалённый сервер.
Conti известен как преемник популярного семейства вымогательских программ Ryuk, и операторы атакуют цели, используя те же методы, что и Ryuk. Для распространения Conti теперь используются Trickbot, Emotet и BazarLoader.
Одной из важных тенденций вымогательского ПО стало активное распространение «партнёрских программ»:
Эти уязвимости получили общее название ProxyLogon. С момента обнаружения они использовались APT-группировками для распространения ботнета Prometei, майнера LemonDuck, а также семейств вымогательского ПО DearCry и BlackKingdom.
Уязвимые серверы были лёгкой мишенью, поскольку большинство порталов Outlook Web App являются публичными и индексируются поисковыми системами Google Search, Shodan, BinaryEdge, Censys, ZoomEye. По данным Shodan, 4 марта 2021, на следующий день после выхода исправления, насчитывалось более 266 000 серверов Exchange, которые были уязвимы к ProxyLogon.
Ещё одна печально известная уязвимость, PrintNightmare, была обнаружена в Print Spooler — системной службе Windows. Она также активно эксплуатировались, что стало ещё одной проблемой для Microsoft. Сначала Microsoft устранила одну уязвимость, CVE-2021-1675, с помощью исправления безопасности, выпущенного в июне 2021. Затем, в июле с. г., компания выпустила отдельное, внеполосное обновление безопасности для PrintNightmare, на этот раз для CVE-2021-34527, критической ошибки, которая позволяла выполнить произвольный код с привилегиями системы.
Тем не менее в интернете уже была случайно опубликована пробная версия эксплойта. Злоумышленник мог устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учётные записи с полными правами пользователя.
Хотя Microsoft удалось выпустить рекомендации по устранению уязвимости для CVE-2021-34527, в середине июля поступило сообщение о другой ошибке, на этот раз об уязвимости эскалации привилегий (EOP), обнаруженной исследователем Бенджамином Дельпи. Обозначенная как CVE-2021-34481, уязвимость не только позволяла хакерам получить системные привилегии, но и ограничивала доступ к сети.
Несмотря на то, что 2021 год начался с массовых атак, использующих критические уязвимости, общее количество зарегистрированных критических уязвимостей значительно снизилось по сравнению с 2020 годом. С другой стороны, количество уязвимостей, классифицированных как уязвимости средней и низкой степени опасности, возросло:
Хабр
Общая картина
В первой половине 2021 года киберпреступники были очень активны и явно не собирались снижать темпы своей деятельности. В первые шесть месяцев года мы видели, как вымогательская группировка парализовала работу крупнейшего поставщика газа и оставила без топлива половину Восточного побережья США. Другие операторы шифровальщиков использовали тактику множественного вымогательства, чтобы добиться от предприятий миллионных выплат. Профессиональные киберпреступные группировки (APT) взламывали облачные серверы Amazon Web Services (AWS), Kubernetes и популярную в Азии платформу веб-почты, преследуя при этом разные цели: одни пытались украсть финансовую информацию, другие — загрузить криптовалютные майнеры. В атаках активно использовались критические уязвимости в MS Exchange и системе печати Windows.В течение первых шести месяцев этого года мы опубликовали несколько исследований, посвященных опасным уязвимостям в различных типах устройств и операционных систем, а также атакам, в которых используются эти дефекты. Одним из примеров этого является наше расследование безопасности технологии Long Range Wide Area Network (LoRaWAN), которая широко используется в конфигурациях интернета вещей (IoT) по всему миру.
Мы также проанализировали атаки, направленные на новые устройства Apple с архитектурой ARM64, а также уязвимости в операционных системах Windows и Linux.
Аферы на пандемическую тематику переключились с самой болезни на долгожданные вакцины и их распространение.
Цифры и факты
- продукты Trend Micro заблокировали 40 956 909 973 угроз, содержавшихся в электронных письмах, вредоносных файлах и URL-адресах, — это на 47% больше, чем за аналогичный период прошлого года;
- кибератаки стали более целевыми и сложными, поэтому ущерб от них значительно выше;
- обнаружено 7,3 млн угроз, связанных с программами-вымогателями, — на 50% меньше, чем в первом полугодии 2020;
- количество программ-вымогателей, нацеленных на банковский сектор, увеличилось на 1318%;
- было обнаружено 164 фальшивых приложения, реализующих мошеннические схемы, связанные с COVID-19, причём 54% из них имитировали TikTok.
Ландшафт угроз
За последние несколько месяцев майнеры криптовалют превратились в наиболее обнаруживаемые вредоносные программы. Раньше первое место по количеству обнаружений в течение нескольких лет стабильно занимал WannaCry, но в последние месяцы он встречается всё реже. Это привело к тому, что он переместился на второе место. В тройку лидеров также входит Webshell — вредоносная программа, используемая злоумышленниками, чтобы получить удалённый доступ к поражённым машинам.Топ-10 семейств вредоносного ПО по количеству обнаружений в первом полугодии 2021 | |
Семейство | Количество обнаружений |
Криптомайнеры | 74 490 |
WCRY | 61 068 |
WEBSHELL | 39 612 |
DOWNAD | 39 095 |
NEMUCOD | 35 276 |
DLOADER | 32 397 |
SALITY | 28 310 |
EQUATED | 24 564 |
POWLOAD | 22 921 |
VIRUX | 22 865 |
Криптомайнеры
Рейтинг активности майнеров криптовалюты в первом полугодии 2021 мало отличается от такового за 2020 год: MalXMR по-прежнему на первом месте, а Cominminer и ToolXMR улучшили свои позиции:Топ 10 программ для майнинга криптовалюты по количеству обнаружений в первом полугодии 2021 | |
Семейство | Количество обнаружений |
MALXMR | 44 587 |
COINMINER | 8 533 |
TOOLXMR | 6 419 |
COINMINE | 4 082 |
MALBTC | 2 328 |
COINHIVE | 2 159 |
CRYPTONIGHT | 1 253 |
ETHEREUM | 893 |
ToolZEC | 693 |
MALETH | 581 |
Ботнеты
Обнаружено более 840 000 конечных устройств, подключённых к командным серверам, и немногим более 22 000 командных серверов:По сравнению с первым полугодием 2020 года количество подключений к ботнетам снизилось на 36,8%, а количество командных серверов — на 73,1%.
Количество соединений с ботнетом считалось как число уникальных конечных точек, которые отправляли запросы на командные серверы или подключались к ним, а в качестве командных серверов ботнетов учитывались уникальные активные командные серверы, к которым поступали запросы или подключались конечные точки.
Количество обнаруженных соединений с ботнетом и командных серверов ботнета в первом полугодии 2021:
Период | Количество соединений с ботнетом | Количество командных серверов ботнета |
I полугодие 2020 | 1 333 976 | 83 147 |
II полугодие 2020 | 1 091 842 | 41 851 |
I полугодие 2021 | 842 938 | 22 353 |
Вымогатели
Количество обнаруженных семейств вымогателей неуклонно снижается с 2020 года. В первом полугодии 2021 их было обнаружено всего сорок девять. Несмотря на это самые громкие с точки зрения финансового воздействия и влияния на реальные операции кибератаки проводились с использованием вымогательского ПО.Период | Кол-во обнаруженных вымогательских семейств |
I полугодие 2020 | 68 |
II полугодие 2020 | 59 |
I полугодие 2021 | 49 |
Стоит отметить, что уменьшение количества обнаруженных вымогательских угроз не означает, что атак стало меньше. Злоумышленники, использующие вымогатели, разумеется, никуда не делись, просто они проводят атаки в несколько этапов, причём фактический запуск вымогателей происходит на очень поздней стадии процесса заражения. Количество обнаружений программ-вымогателей снизилось, поскольку инструменты развёртывания могут быть обнаружены ещё до фактической вымогательской атаки.
В результате действия злоумышленников блокируются до того, как они дойдут до запуска шифровальщика. Но даже если программа-вымогатель развёрнута, наши системы с использованием машинного обучения блокируют её до того, как она сработает. Именно так произошло с атакой на американскую IT-компанию Kaseya.
На семейства WannaCry и Locky приходится бо́льшая часть обнаружений, что свидетельствует о сохранении тенденции, которую мы освещали в нашем ежегодном обзоре 2020 года. WannaCry — легендарный вымогатель, который известен с 2017 года. В 2021 году количество обнаружений WannaCry заметно снизилось. Долговечность этого семейства показывает, как долго сетевой червь может существовать, если устройства не исправлены должным образом, даже если авторы атаки уже ее не поддерживают.
DarkSide, Nefilim и Conti также входят в десятку лучших семейств, обнаруженных за этот период, и значительно выделяются по масштабам атак, инструментам и методам.
Что касается отраслей, на которые были направлены атаки, то операторы вымогателей сфокусировались на тех же секторах, что и в прошлом году: больше всего пострадали банковские, правительственные и производственные организации. Мы наблюдали резкий рост атак вымогателей на банковские группы.
Вымогатель Nefilim продолжал атаковать компании с годовым доходом в миллиарды долларов. Это наиболее характерная модель для всех современных вымогателей.
В мае вымогательская группировка DarkSide вывела из строя компанию Colonial Pipeline, ответственную за снабжение топливом почти половины Восточного побережья США. В результате Федеральное управление безопасности автоперевозчиков (FMCSA) было вынуждено объявить чрезвычайное положение в 18 штатах США, чтобы помочь справиться с нехваткой топлива. Инцидент был настолько значительным, что породил группу, которая выдавала себя за DarkSide и рассылала электронные письма с вымогательством на общие адреса электронной почты компаний.
Также существовала DarkSide Linux, ещё одна версия программы-вымогателя, нацеленная на файлы виртуальных машин VMware ESXI. Она убивает виртуальные машины, шифрует файлы, собирает системную информацию и отправляет на удалённый сервер.
Conti известен как преемник популярного семейства вымогательских программ Ryuk, и операторы атакуют цели, используя те же методы, что и Ryuk. Для распространения Conti теперь используются Trickbot, Emotet и BazarLoader.
Одной из важных тенденций вымогательского ПО стало активное распространение «партнёрских программ»:
- усовершенствованные методики проникновения в организацию иногда применяет группировка, которая сама не создаёт и не распространяет программы-вымогатели;
- в первой половине 2021 года преступное партнёрство процветало — в основном злоумышленники сотрудничали ради получения инструментов;
- многие злоумышленники, получившие доступ к скомпрометированным активам в сети жертвы, заключают договор с владельцами программ-вымогателей;
- усиление конкуренции за соучастников может ускорить автоматизацию и вызвать изменение техник, тактик и процедур для их привлечения.
Вредоносные файлы
Инструменты Trend Micro обнаружили более 5 млн вредоносных файлов, разосланных в виде вложений в спам-письма. При этом на PDF-вложения пришлось 66,1% от общего объёма. Файлы DOCX и EXE также составляли значительную долю общего количества.Тип файла | Количество вложенных вредоносных файлов |
PDF | 3 456 427 |
DOCX | 441 525 |
EXE | 356 521 |
DOC | 308 514 |
HTML | 172 871 |
HTM | 160 335 |
XLS | 156 837 |
RAR | 54 714 |
XLSX | 35 087 |
BAT | 22 801 |
иные | 61 234 |
Итого | 5 226 866 |
BEC-атаки
Число мошенничеств, связанных с компрометацией деловой электронной почты (BEC), увеличилось примерно на 4% по сравнению с первой половиной 2020 года. Это может быть связано с тем, что злоумышленники нацелились на предприятия, участвующие в программах вакцинации против COVID-19, а также с атаками на цепочки поставок для производства вакцин.Период | Количество случаев BEC-мошенничества |
I полугодие 2020 | 36 904 |
II полугодие 2020 | 36 189 |
I полугодие 2021 | 38 367 |
Популярные уязвимости
В марте 2021 года Microsoft пришлось столкнуться с массовой эксплуатацией четырёх уязвимостей нулевого дня в локальных версиях Microsoft Exchange Server, которую проводила китайская хакерская группа Hafnium. Microsoft выпустила предупреждение об уязвимостях, но вскоре после атаки компания Trend Micro сообщила, что в США жертвами нападения стали не менее 30 000 организаций, а 63 000 серверов оставались уязвимыми.Эти уязвимости получили общее название ProxyLogon. С момента обнаружения они использовались APT-группировками для распространения ботнета Prometei, майнера LemonDuck, а также семейств вымогательского ПО DearCry и BlackKingdom.
Уязвимые серверы были лёгкой мишенью, поскольку большинство порталов Outlook Web App являются публичными и индексируются поисковыми системами Google Search, Shodan, BinaryEdge, Censys, ZoomEye. По данным Shodan, 4 марта 2021, на следующий день после выхода исправления, насчитывалось более 266 000 серверов Exchange, которые были уязвимы к ProxyLogon.
Ещё одна печально известная уязвимость, PrintNightmare, была обнаружена в Print Spooler — системной службе Windows. Она также активно эксплуатировались, что стало ещё одной проблемой для Microsoft. Сначала Microsoft устранила одну уязвимость, CVE-2021-1675, с помощью исправления безопасности, выпущенного в июне 2021. Затем, в июле с. г., компания выпустила отдельное, внеполосное обновление безопасности для PrintNightmare, на этот раз для CVE-2021-34527, критической ошибки, которая позволяла выполнить произвольный код с привилегиями системы.
Тем не менее в интернете уже была случайно опубликована пробная версия эксплойта. Злоумышленник мог устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учётные записи с полными правами пользователя.
Хотя Microsoft удалось выпустить рекомендации по устранению уязвимости для CVE-2021-34527, в середине июля поступило сообщение о другой ошибке, на этот раз об уязвимости эскалации привилегий (EOP), обнаруженной исследователем Бенджамином Дельпи. Обозначенная как CVE-2021-34481, уязвимость не только позволяла хакерам получить системные привилегии, но и ограничивала доступ к сети.
Несмотря на то, что 2021 год начался с массовых атак, использующих критические уязвимости, общее количество зарегистрированных критических уязвимостей значительно снизилось по сравнению с 2020 годом. С другой стороны, количество уязвимостей, классифицированных как уязвимости средней и низкой степени опасности, возросло:
Опасность | I полугодие 2020 | I полугодие 2021 |
Критическая | 121 | 16 |
Высокая | 547 | 553 |
Средняя | 76 | 107 |
Низкая | 42 | 94 |
Всего | 786 | 770 |
Заключение
С каждым годом киберпреступники совершенствуют тактики и техники для проведения атак. Они используют разделение труда, привлекая для различных этапов атаки специализированные хакерские команды или покупая «доступ как услугу» у профессиональных взломщиков. В ход идут уязвимости нулевого дня и изощрённая социальная инженерия.Хабр