Angara Professional Assistance: вредоносное ПО – основной вектор кибератак в I полугодии 2020 года

809

Аналитики Angara Professional Assistance, высокотехнологичного сервис-провайдера тиражируемых услуг кибербезопасности группы компаний Angara, поделились результатами исследования событий ИБ за I полугодие 2020 года. Отчет основан на статистике, собираемой в рамках предоставления услуг по мониторингу и управлению инцидентами информационной безопасности на базе Центра киберустойчивости Angara Cyber Resilience Center (ACRC).

Согласно исследованию, в январе-июне 2020 года основные векторы атак на информационные системы российских компаний пришлись на заражение вредоносным программным обеспечением (ВПО, 28%), эксплуатацию уязвимостей (12%) и доставку ВПО через e-mail (т.е. фишинг, 7%). Для сравнения, во II полугодии 2019 года доля заражения ВПО была на уровне 7%, а доли эксплуатации уязвимостей и доставки ВПО через e-mail – на уровне 4% каждый.

«Такой профиль подтвержденных инцидентов ИБ в I полугодии 2020 года является следствием экстренного перехода компаний на режим удаленной работы и последующей адаптации ИТ-инфраструктур к новому формату взаимодействия, – комментирует руководитель Angara Professional Assistance Оксана Васильева. – Размытие периметра ИБ, недостаточное внимание к защите средств удаленного доступа привело к лавинообразному росту самых простейших видов атак».

Из отчета следует, что большое количество ВПО было скачано пользователями под видом легитимных приложений (в том числе игровое ПО, средства для взлома ПО, мессенджеры и т.д.). Подобные инциденты, непосредственно связанные с удаленной работой, составили 12% от всех событий, относящихся к ВПО. Увеличение их количества вызвано прямым доступом в сеть Интернет мимо корпоративных средств анализа веб-трафика.

Аналитики ACRC зафиксировали большое количество фишинговых писем на корпоративные адреса компаний, содержащих вредоносные вложения или ссылки на вредоносный контент. Чаще всего вредоносное вложение доставляется в архиве с паролем, что позволяет обойти проверку содержимого средствами антивирусной защиты на почтовом сервере. Одна из заметных фишинговых рассылок была замаскирована под запрос Федеральной налоговой службы России: пользователь получил письмо от адресата info@nalog.ru с темой «Запрос ФНС». Во вложении находился исполняемый файл, который при запуске инициировал установку средства удаленного администрирования Remote Manipulator System (RMS), которое злоумышленники давно используют для управления скомпрометированными хостами.

Что касается эксплуатации уязвимостей, то во время удаленной работы регистрировались инциденты, связанные с эксплуатацией таких брешей, как CVE-2019-0708 (BlueKeep) и CVE-2017-0144 (EternalBlue) протоколов RDP и SMB на корпоративных хостах. В ходе расследования выяснилось, что хостам выдавались белые адреса сети Интернет для работы из дома, что позволило внешним злоумышленникам осуществить попытки эксплуатации уязвимостей.

Согласно статистическим данным по месяцам, уже в мае ситуация стабилизировалась: число подтвержденных инцидентов ИБ упало на 45% к предыдущему месяцу. 

Источник: пресс-релиз компании

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление (роль)
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.