IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.
Отчет IBM X-Force наглядно демонстрирует факторы, способствовавшие этому сдвигу, включая три основных вектора атак:
- Фишинг успешно использовался в качестве первоначального метода проникновения менее чем в трети случаев (31%), в то время как в 2018 году эта цифра достигала половины.
- Выявление и использование уязвимостей были причиной 30% взломов по сравнению с 8% в 2018 году. И даже давно известные уязвимости в Microsoft Office и Windows Server Message Block до сих пор масштабно эксплуатируются.
- Использование ранее украденных учетных данных также набирает популярность в качестве точки входа: речь идет о 29% случаев. Только в 2019 году более 8,5 млрд записей было скомпрометировано — это на 200% больше по сравнению с предыдущим годом, а значит в руки преступников попало еще больше учетных данных, которыми в дальнейшем можно будет воспользоваться.
«То количество взломанных учетных записей, которое мы видим сегодня, говорит о том, что в руки киберпреступников попадает все больше ключей, открывающих доступ к нашей частной жизни и работе. Им больше не нужно тратить время на изобретение хитрых способов проникновения в компанию — преступники могут проникать в сеть и проводить атаки, просто используя известные методы, такие как вход в систему с украденными учетными данными, — сказала Венди Уитмор, вице-президент IBM X-Force Threat Intelligence. — Усиленные меры защиты вроде многофакторной аутентификации или технологий single sign-on необходимы для обеспечения кибер-устойчивости организации и защиты пользовательских данных».
IBM X-Force составляет отчеты, анализируя ежедневно более 70 млрд событий из сферы информационной безопасности более чем в 130 странах мира. Используются и дополнительные источники данных: X-Force IRIS, X-Force Red, IBM Managed Security Services и официально опубликованные сообщения об утечках. Помимо этого, специалисты IBM X-Force используют тысячи спам-ловушек по всему миру и отслеживают десятки миллионов фишинговых и спам-атак ежедневно, а также анализируют миллиарды веб-страниц и изображений для выявления мошенничества или незаконного использования брендов.
Ключевые выводы, представленные в отчете:
- Небрежная конфигурация. Анализ IBM показал, что из отчетов по более чем 8,5 млрд взломанных записей в 2019 году 7 млрд, то есть более 85%, были связаны с неправильной настройкой облачных серверов и других некорректно сконфигурированных систем. Это разительная перемена по сравнению с 2018 годом, когда соответствующая цифра не превышала половины всех взломанных записей.
- Вирусы-шифровальщики в банковской сфере. Согласно отчету за 2019 год, некоторые из наиболее активных банковских троянов, такие как TrickBot, стали чаще использоваться в качестве плацдарма для проведения масштабных ransomware-атак. Фактически вирусы-шифровальщики и новые коды, которые используют банковские трояны, возглавили рейтинг рассмотренных в отчете вредоносных программ.
- Фишинг на доверии. Технологические компании, социальные сети и стриминговые сервисы вошли в десятку брендов, за представителей которых чаще всего выдают себя мошенники с целью фишинга. Эти изменения могут говорить о том, что люди стали больше доверять технологическим провайдерам, а не розничным сетям и финансовым компаниям, как было раньше. В числе наиболее крупных брендов, используемых в мошеннических схемах, значатся Google, YouTube и Apple.
Атаки вирусов-шифровальщиков эволюционируют
Отчет IBM X-Force выявил общемировые тренды в сфере атак с целью вымогательства, которые поражают как общественный, так и частный сектор. 2019 год продемонстрировал значительный рост активности вирусов-шифровальщиков — подразделение IBM X-Force усилило профильную службу реагирования, чтобы поддержать своих клиентов из 13 различных отраслей во всем мире, еще раз подтверждая, что подобные атаки не имеют привязки к индустрии.
Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в прошлом году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний — все они, как известно, владеют большими объемами монетизируемых данных либо полагаются на устаревшие технологии и, как следствие, оказываются в зоне риска. В 80% атак преступники использовали уязвимости Windows Server Message Block. Та же тактика применялась для распространения вируса WannaCry, который нанес ущерб компаниям в 150 странах в 2017 году.
Атаки вирусов-шифровальщиков стоили организациям более $7,5 млрд в 2019 году, при этом злоумышленники наслаждаются добычей и не планируют останавливаться в 2020. В отчете IBM, подготовленном совместно с компанией Intezer, говорится, что новый вредоносный код был замечен в 45% банковских троянов и в 36% вирусов-шифровальщиков. Это говорит о том, что, создавая новые коды, преступники продолжают работать над тем, чтобы избежать своего обнаружения.
Специалисты IBM X-Force отметили тесную связь между вирусами-шифровальщиками и банковскими троянами: трояны открывают двери для прицельных и высокодоходных вымогательских атак. Таким образом расширяются способы развертывания программ-вымогателей. Например, существуют подозрения, что наиболее активная финансовая вредоносная программа TrickBot была использована для развертывания вируса Ryuk в корпоративных сетях. Другие банковские трояны, такие как QakBot, GootKit, Dridex, также развиваются в этом направлении.
Подложное использование названий технологических компаний и социальных сетей в фишинговых схемах
Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга.
Почти 6 из 10 наиболее часто используемых мошенниками брендов относились к доменам Google и YouTube. Бренды Apple (15%) и Amazon (12%) также использовались мошенниками с целью кражи монетизируемых данных пользователей. По мнению IBM X-Force, эти бренды были выбраны в первую очередь из-за того, что у них есть монетизируемые данные.
Facebook, Instagram и Netflix также вошли в десятку наиболее подделываемых брендов, но со значительно меньшей долей использования. Возможно, причина в том, что у них обычно нет данных, которые можно непосредственно монетизировать. Поскольку мошенники часто делают ставку на использование одинаковых паролей — и достигают успеха — специалисты IBM X-Force полагают, что частое применение одинаковых паролей как раз могло сделать эти бренды главной целью преступных атак. Исследование The Future of Identity, проведенное IBM, показало, что 41% опрошенных представителей поколения миллениалов используют один и тот же пароль множество раз, а у поколения Z в среднем всего пять разных паролей, то есть степень повторного использования очень высока.
Отличить поддельный домен от настоящего может быть очень сложно — именно этим и пользуются мошенники. Десять наиболее часто подделываемых брендов, указанных в отчете, на которые в сумме приходится около 10 млрд учетных записей, открывают преступникам широкое поле для деятельности. При таких масштабах высока вероятность, что ничего не подозревающий пользователь кликнет на поддельную ссылку.
Другие важные выводы, представленные в отчете:
- Позиции ритейла растут в рейтингах целевых отраслей. Сфера розничной торговли стала второй наиболее атакуемой отраслью в 2019 году. С небольшой разницей в количестве атак первое место в этом списке четвертый год подряд занял финансовый сектор. Атаки Magecart, затронувшие 80 сайтов интернет-магазинов летом 2019 года, стали одними из наиболее значимых атак на сферу ритейла. Вероятно, целью киберпреступников были личные данные потребителей, данные платежных карт и даже ценная информация программ лояльности. Согласно данным подразделения IBM по реагированию на инциденты безопасности, ритейлеры также подверглись большому количеству атак вирусов-шифровальщиков.
- Рост атак на промышленные системы управления (ICS) и операционные технологии (OT). В 2019 году число атак на OT-системы выросло в 21 раз по сравнению с прошлым годом. Это беспрецедентное количество атак на ICS и OT как минимум за последние три года. В наиболее крупных атаках использовались известные уязвимости в аппаратном обеспечении систем SCADA и ICS в сочетании с подбором паролей путем их «распыления».
- Северная Америка и Азия — наиболее атакуемые регионы. В этих регионах в прошлом году наблюдалось наибольшее количество атак (более 5 млрд) и наиболее существенные утечки данных — более 2 млрд записей.
В отчете использовались данные, собранные IBM в 2019 году для анализа глобального ландшафта угроз и информирования специалистов в сфере кибербезопасности об опасностях, наиболее релевантных для той или иной организации. Чтобы скачать копию отчета IBM X-Force Threat Intelligence Index 2020, пройдите по ссылке.