Microsoft представила регулярный отчет по угрозам информационной безопасности
Microsoft представила 23-й отчет Security Intelligence Report, в котором проанализировала информационную среду на предмет распространенности и видов киберугроз. Согласно данным с февраля 2017 по январь 2018 года, от 25% до 30% устройств в России сталкивались с киберугрозами ежемесячно[1].
Корпорация Microsoft опубликовала отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании[2]. Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.
Отчет посвящен трем темам: ботнетам, популярным методам хакерских атак и вирусам-вымогателям. Целью публикации отчета является повышение осведомленности корпоративных и частных пользователей о существующих угрозах и методах противодействия им.
Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25–30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше — 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие — в Финляндии, Дании, Ирландии и США (11,4% или ниже).
Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.
Ботнеты
В ноябре 2017 года совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО — ботнета Gamarue, также известного как Andromeda; это хакерский инструмент, распространявшийся как платный сервис для киберпреступников. Отдел по расследованию цифровых преступлений Microsoft (Digital Crimes Unit, DCU) проанализировал более 44 000 образцов вредоносного кода и выяснил, что в арсенале Gamarue было более 80 различных типов вредоносного ПО. Тремя основными классами вредоносного ПО, распространявшимися через бот-сеть Gamarue, были программы-вымогатели (в частности, Petya), трояны и бэкдоры. С помощью вирусов Gamarue злоумышленники могли красть данные учетных записей, запускать в зараженных системах другие вредоносные программы, отслеживать происходящее на мониторе (движение мышки или набираемые символы на клавиатуре жертвы) и многое другое.
Из-за нарушения работы этой инфраструктуры уже в следующие три месяца количество инфицированных устройств снизилось на 30% (с 17 до 12 миллионов). Количество IP-адресов, имеющих отношение к сети Gamarue и перенаправленных на созданный совместно с органами правопорядка сервер sinkhole, в России составило 22,5 тыс. Всего в мире количество таких IP-адресов составило 29,48 млн.
Тем не менее, ботнеты продолжают оставаться серьезной угрозой для пользователей по всему миру. Microsoft активно содействует в помощи пользователям зараженных устройств в рамках деятельности ассоциации Virus Information Alliance, а также постоянно совершенствует защитные механизмы своих продуктов, используя машинное обучение для проактивной блокировки новых видов атак.
Распространение простых видов атак
В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180–200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире — 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).
Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).
Еще одна тенденция второй половины 2017 года — киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.
Вирусы-вымогатели
Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остается привлекательной стратегией для злоумышленников. В 2017 году три вспышки вирусов-вымогателей — WannaCrypt, Petya/NotPetya и BadRabbit — стали причиной заражения множества корпоративных сетей, в том числе в больницах, транспортных системах и системах управления дорожным движением. Атаки программ-вымогателей, которые мы наблюдали в прошлом году, были крайне разрушительными и развивались стремительно, оставляя большую часть жертв без доступа к своим файлам на длительное время.
В России в среднем 0,13% устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14%. Чаще всего с таким видом угроз сталкивались пользователи в Азии. Самая высокая частота обнаружения вирусов-вымогателей — в Мьянме (0,48%), Бангладеше (0,36%) и Венесуэле (0,33%). Ниже всего этот показатель оказался в Японии, Финляндии и США (0,03%).
Ознакомиться с полным текстом нового отчета Microsoft Security Intelligence Report, а также получить практические рекомендации по защите корпоративной сети и частных устройств можно на https://www.microsoft.com/sir.
[1]Данные о количестве обнаруженных угроз, а не о случаях заражения.
[2] Источником данных послужили пользовательские и коммерческие локальные системы, а также глобальные облачные сервисы Microsoft, такие как Windows, Bing, Office 365 и Azure.