Acronis Cyber Threats Report 2020: Осторожно, уязвимости
За время пандемии хакеры стали находить больше эксплойтов во всех видах программного обеспечения? Сегодня мы снова хотим поделиться интересными фактами и данными из нашего исследования Acronis Cyber Threats Report 2020 и рассказать о тех направлениях активности, в которых киберпреступники особенно преуспели. Речь пойдет об уязвимостях в различных приложениях, которые были обнаружены на протяжении коронавирусного локдауна. Также мы расскажем популярности разных типов вредоносного ПО, тенденциях в области кражи данных и затратах на содержание инфраструктуры для обеспечения работы сотрудников в удаленном режиме.
Содержание:
Атак на компании становится больше
Уязвимости в прикладных приложениях
Согласно статистике, собранной Cyber Protection Operation Center (CPOC) — центром безопасности Acronis в Сингапуре, за последние месяцы компании по всему миру испытывали самые разные атаки. И если к высокому уровню DDoS-агрессии привыкли уже многие, 2020 год запомнится большим уровнем фишинга, а также атак на системы видеоконференции.
Кстати, опасность фишинга остается особенно актуальной, потому что по данным нашего предыдущего исследования Acronis Cyber Readiness Report, только 2% предпринимателей уделяет внимание такому методу защиты, как фильтрация URL. Благодаря этому злоумышленники успешно проводят как атаки широкого спектра, так и целенаправленные атаки на конкретные корпорации.
Что касается атак на системы видеосвязи и коллективной работы, их рост стал результатом обнаружения большого количества уязвимостей в 2020 году. И это не удивительно, ведь облачные платформы и программы, которыми стали пользоваться в десятки или даже сотни раз больше людей, вызывали пристальное внимание хакеров.
Однако результаты нашего исследования показали, что в уходящем году также было обнаружено множество уязвимостей для операционных систем и другого прикладного. ПО. Например, компания VulnDB (специалист по управлению ИТ-рисками) сообщила о том, что в только в первом полугодии 2020 была раскрыта 11 121 уязвимость.
Данные Microsoft подтверждают эту информацию — сентябрьский патч вендора закрывается 129 уязвимостей безопасности, 23 из которых могли быть использованы вредоносным ПО для получения полного контроля над компьютерами с ОС Windows при минимальном вмешательстве пользователей или вообще без такового. Это неприятный показатель, учитывая, что в 2020 году Microsoft семь месяцев подряд выпускала патчи, содержащие исправления более чем для 100 уязвимостей.
Впрочем, даже своевременный выпуск патчей не гарантирует безопасности, потому что многие пользователи так и не устанавливают их. Например, уязвимость CVE-2020-0796 (SMBGhost), считалась настолько опасной, что получила самый высокий рейтинг системы оценки уязвимости (CVSS): 10 из 10. И хотя компания Microsoft выпустила срочный внеочередной патч буквально через несколько дней, наши центры Acronis CPOC до сих пор регистрируют использование этой уязвимости.
Из числа интересных уязвимостей 2020 года — CVE-2020-1425 и CVE-2020-1457, позволяют выполнить удаленный код (RCE) на машине пользователя. Они получили рейтинг «критическая» и «важная» соответственно и обе связаны с библиотекой Microsoft Windows Codecs Library, которая обрабатывает объекты в памяти. И хотя обеим уязвимостям в рейтинге Microsoft Exploitability Index присвоена категория «использование маловероятно», наличие подобных брешей создает дополнительные возможности для злоумышленников.
Уязвимости CVE-2020-1020 и CVE-2020-0938, наоборот, используются активно. 23 марта, когда информация по этим брешам была опубликована, компания Microsoft подтвердила отсутствие исправлений Windows, а также факт активной эксплуатации уязвимостей злоумышленниками. Пользователи Windows 10, так и не установившие патчи Microsoft фактически позволяют злоумышленникам устанавливать программы, просматривать или изменять данные, а также создать новые учетные записи на своей машине.
CVE-2020-1464 — представитель еще одного интересного вида уязвимостей. Она позволяет нарушить процесс валидации сигнатуры файлов Windows. При эксплуатации этой уязвимости можно провести запуск файла с поддельной сигнатурой, а операционная система не сможет распознать его вредоносную природу. Кстати, эта уязвимость затрагивает все поддерживаемые версии Windows и представляет собой серьезную проблему.
Приложения тоже уязвимы
В 2020 году высокий уровень уязвимостей показали также прикладные приложения. Одним из рекордсменов по количеству опубликованных патчей стала компания Adobe, которая выпустила в июле экстренное обновление безопасности для Photoshop, Prelude и Bridge. Всего через неделю после выхода стандартного ежемесячного обновления безопасности Adobe опубликовала рекомендации по безопасности, выявив в общей сложности 13 уязвимостей, 12 из которых оказались критическими, так как позволяют выполнить произвольный код на машине жертвы.
В августе Adobe выпустила патчи для устранения 26 уязвимостей в Adobe Acrobat и Adobe Reader, включая 11 критических уязвимостей, позволяющих обойти системы контроля безопасности. Девять из них также позволяли удаленно выполнить произвольный код.
Кроме этого, учитывая тенденции удаленной работы, киберпреступники все чаще стали обращать внимание на уязвимости виртуальных частных сетей (VPN). Например, в устройствах Citrix VPN была обнаружена уязвимость выполнения произвольного кода, известная как CVE-2019-19781. А на серверах Pulse Secure VPN по прежнему встречается уязвимость CVE-2019-11510, открывающая возможность чтения произвольного файла.
Вредоносное ПО становится “одноразовым”?
В III квартале 2020 года независимая лаборатория анализа вредоносного ПО AV-Test регистрировала 400 000 новых образцов вредоносного ПО каждый день. Это подтверждает автоматизацию создания вредоносного кода под конкретные задачи. В этом же периоде наши CPOC обнаружили, что 19% образцов были замечены в реальных условиях только один раз. При этом средний срок жизни современной версии вредоносного ПО в среднем составляет 3,4 дня. Вместо того, чтобы использовать “свежие” вирусы, трояны, программы-вымогатели повторно, авторы предпочитают сгенерировать новый код.
Если говорит о популярности разных типов ПО, перед вами диаграмма с 10 крупнейшими семейств вредоносных программ, которые мы наблюдали и отслеживали в 2020 году:
Кража данных становится трендом
При этом список возглавляют разновидности ПО, направленные на кражу данных. Вообще компрометация информации стала трендом уходящего года — даже программы-вымогатели теперь все чаще не только шифруют, но и воруют данные. Например, авторы новой программы-вымогателя-как-услуги (RaaS) Conti, ставшей преемницей Ryuk, открыли сайт для публикации украденных данных. Conti используется уже несколько месяцев, но, видимо, шантаж шифрованием оказался не слишком эффективен. Осенью 2020 был открыт новый сайт Conti.News, на котором приведен список из 112 жертв, включая весьма крупные и известные компании.
Судя по всему, этот тренд становится нормой для киберпреступных группировок. Свои страницы для публикации украденных данных в сети Tor создали около 20 различных групп. В сети уже были опубликованы данные более 700 компаний – 37% из них были украдены в результате заражения программой-вымогателем Maze (о ней подробнее читайте в предыдущем посте), 15% – Conti, а 12% – Sodinokibi.
Ситуация сложная, потому что утечки могут привести к потере деловой репутации, к дальнейшим атакам с использованием новых учетных данных, а также к различным штрафам. Если в ходе утечки будут скомпрометированы данные о клиентах, наказание согласно нормативным актам, такими как GDPR или CCPA, может оказаться очень ощутимым. Но уплата выкупа для многих компаний — тоже не вариант, потому что является правонарушением в соответствии с правилами американского Управления по контролю за иностранными активами (OFAC).
Затраты на содержание ИТ растут
В завершение этого поста отметим, что большинство компаний в текущих условиях вынуждены были увеличить затраты на ИТ — в том числе на безопасность. И только 1 из 5 компаний удалось сохранить затраты на прежнем уровне или немного сократить их.