Компания Trend Micro Incorporated, один из мировых лидеров в области решений для кибербезопасности, опубликовала сводный отчёт Evasive Threats, Pervasive Effects об угрозах за первое полугодие 2019 года, в котором проанализированы тенденции и приведена статистика наиболее громких инцидентов в сфере информационной безопасности.

По мнению аналитиков компании, в условиях постоянно изменяющегося ландшафта угроз в сфере кибербезопасности невозможно ограничиться исключительно защитой данных и других цифровых активов, просто закрывая киберпреступникам доступ к сетям и устройствам.

Подразделениям информационной безопасности приходится действовать проактивно, закрывая все потенциальные лазейки для злоумышленников. Чтобы разработать превентивные меры, необходимо постоянное изучение векторов интереса атакующих и применяемых ими технологий.

Основными угрозами первого полугодия аналитики Trend Micro называют программы-вымогатели, бесфайловые вирусы, использование легальных системных утилит для проведения атак, большое количество критических уязвимостей, а также проблемы безопасности IoT и IIoT.

Важный факт, выявленный авторами исследования: несмотря на рост числа инцидентов с шифровальщиками-вымогателями за шесть месяцев уменьшилось количество новых семейств этой разновидности вредоносных программ: количество зафиксированных атак шифровальщиков выросло на 77%, в то время как появление новых шифровальщиков снизилось на 55% по сравнению со второй половиной 2018 года. Одна из возможных причин такого явления, по мнению авторов — рост популярности модели «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). Именно такую модель использовали операторы GandCrab, анонсировавшие в середине 2019 года окончание работы в связи с получением суммарного дохода в 2 млрд долларов США.

По мнению аналитиков компании, наиболее известными инцидентами с участием шифровальщиков-вымогателей стали

• атака LockerGoga на Norsk Hydro, ущерб от которой составил около 55 млн долларов;
• атака RobbinHood на системы города Балтимора, восстановление после которой обошлось в 5,3 млн долларов США.

Самые крупные выкупы вымогателям заплатили власти американских городов Ривьера-бич и Лейк Сити — 600 тыс. и 460 тыс. долларов США.

Примечательно, что среди обнаруженных вымогателей до сих пор лидирует WannaCry

Как и предсказывали аналитики Trend Micro, на 18% по сравнению с прошлым годом выросло количество случаев заражения бесфайловыми вредоносами. наиболее часто среди них встречаются майнеры криптовалюты, вымогатели и банковские трояны. Объединяющим свойством всех семейств бесфайловых вредоносов является использование PowerShell, PsExec и WMI в качестве основного средства для проникновения в систему.

Продолжается рост целевых и фишинговых атак. При этом нападения с использованием методики «компрометация деловой переписки» (Business Email Compromise, BEC) регистрировались на 52% чаще, чем во второй половине прошлого года. В большинстве случаев мошеннические письма отправлялись от имени генеральных директоров.

Как и в случае с вымогательскими программами авторы атак всё реже пытаются изобрести новые техники, предпочитая использовать старые проверенные методы.

Наиболее заметными и опасными уязвимостями первого полугодия авторы исследования называют:

• Уязвимость в службе удалённых рабочих столов (CVE-2019-0708, BlueKeep);
• Уязвимость в службе расписания Windows 10 (CVE-2019-1069);
• Уязвимость в runc, компоненте платформ для контейнеризации (CVE-2019-5736);
• Уязвимость в интерфейсе командной строки Kubernetes (CVE-2019-1002101).

В заключение авторы исследования отмечают, что наиболее значимыми угрозами 2019 года стали хорошо замаскированные и долгоживущие вредоносные программы, нацеленные на использование слабых мест в технологиях, процессах и людях. Противодействие таким угрозам требует многоуровневого подхода и активного мониторинга для выявления самых незначительных аномалий.

Внедрение программных и аппаратных решений для обеспечения безопасности должно обязательно сопровождаться развитием культуры кибербезопасности сотрудников, которое включает в себя не только обучение и повышение осведомлённости в сфере ИБ, но и регулярные тренировки с использованием симулированных фишинговых атак, резюмируют авторы отчета.