Вредоносное ПО – основной вектор кибератак в I полугодии 2020 года

Аналитики Angara Professional Assistance, высокотехнологичного сервис-провайдера тиражируемых услуг кибербезопасности группы компаний Angara, поделились результатами исследования событий ИБ за I полугодие 2020 года. Отчет основан на статистике, собираемой в рамках предоставления услуг по мониторингу и управлению инцидентами информационной безопасности на базе Центра киберустойчивости Angara Cyber Resilience Center (ACRC).

Согласно исследованию, в январе-июне 2020 года основные векторы атак на информационные системы российских компаний пришлись на заражение вредоносным программным обеспечением (ВПО, 28%), эксплуатацию уязвимостей (12%) и доставку ВПО через e-mail (т.е. фишинг, 7%). Для сравнения, во II полугодии 2019 года доля заражения ВПО была на уровне 7%, а доли эксплуатации уязвимостей и доставки ВПО через e-mail – на уровне 4% каждый.

«Такой профиль подтвержденных инцидентов ИБ в I полугодии 2020 года является следствием экстренного перехода компаний на режим удаленной работы и последующей адаптации ИТ-инфраструктур к новому формату взаимодействия, – комментирует руководитель Angara Professional Assistance Оксана Васильева. – Размытие периметра ИБ, недостаточное внимание к защите средств удаленного доступа привело к лавинообразному росту самых простейших видов атак».

Из отчета следует, что большое количество ВПО было скачано пользователями под видом легитимных приложений (в том числе игровое ПО, средства для взлома ПО, мессенджеры и т.д.). Подобные инциденты, непосредственно связанные с удаленной работой, составили 12% от всех событий, относящихся к ВПО. Увеличение их количества вызвано прямым доступом в сеть Интернет мимо корпоративных средств анализа веб-трафика.

Аналитики ACRC зафиксировали большое количество фишинговых писем на корпоративные адреса компаний, содержащих вредоносные вложения или ссылки на вредоносный контент. Чаще всего вредоносное вложение доставляется в архиве с паролем, что позволяет обойти проверку содержимого средствами антивирусной защиты на почтовом сервере. Одна из заметных фишинговых рассылок была замаскирована под запрос Федеральной налоговой службы России: пользователь получил письмо от адресата info@nalog.ru с темой «Запрос ФНС». Во вложении находился исполняемый файл, который при запуске инициировал установку средства удаленного администрирования Remote Manipulator System (RMS), которое злоумышленники давно используют для управления скомпрометированными хостами.

Что касается эксплуатации уязвимостей, то во время удаленной работы регистрировались инциденты, связанные с эксплуатацией таких брешей, как CVE-2019-0708 (BlueKeep) и CVE-2017-0144 (EternalBlue) протоколов RDP и SMB на корпоративных хостах. В ходе расследования выяснилось, что хостам выдавались белые адреса сети Интернет для работы из дома, что позволило внешним злоумышленникам осуществить попытки эксплуатации уязвимостей.

Согласно статистическим данным по месяцам, уже в мае ситуация стабилизировалась: число подтвержденных инцидентов ИБ упало на 45% к предыдущему месяцу. «В первой половине года мир столкнулся с новыми вызовами. Приспосабливаться в сжатые сроки пришлось всем, в частности, коммерческим поставщикам услуг SOC. Центру киберустойчивости и нашим клиентам удалось адаптироваться к текущей ситуации за короткое время и, хотя и произошел общий рост вредоносной активности, она не отразилась на функционировании бизнеса заказчиков», – подводит итоги Оксана Васильева.

AngaraCyber Resilience Center (ACRC) – собственный центр мониторинга событий ИБ и расследования инцидентов Angara Professional Assistance, который оказывает услуги по мониторингу и выявлению инцидентов информационной безопасности в круглосуточном режиме. Пользователями сервиса являются кредитно-финансовые организации, предприятия ТЭК и промышленности, телекоммуникационные и транспортные компании, а также госструктуры и ведомства по всей стране.

28 августа, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных