Самые популярные способы кибератак и как им противостоять

Фишинг-рассылки, вирусы-шифровальщики, атаки на цепочки поставок и скрытый майнинг.

Материал подготовлен при поддержке Microsoft

Самые популярные способы кибератак и как им противостоять

В феврале 2019 года корпорация Microsoft подготовила ежегодный отчёт об угрозах информационной безопасности. Эксперты проанализировали триллионы сигналов, которые ежедневно проходят через облачные ресурсы Microsoft, и выделили наиболее распространённые способы кибератак. Какие из них особенно опасны для бизнеса и как не допустить проникновения вредоносного программного обеспечения в корпоративную сеть — в статье.

Фишинг

Человеческий фактор всегда остаётся самым слабым звеном в цепи, какие бы методы защиты корпоративной сети ни использовались. Киберпреступники очень часто применяют механики социальной инженерии. Атаки направлены не на поиск технических уязвимостей, а на человеческие слабости — любопытство, страх, жажда наживы. Поэтому популярность фишинга стремительно растёт.

На 350%
вырос среднемесячный показатель числа фишинговых атак за 2018 год

Фишинговые атаки делятся на три категории:

  • Фишинговые сайты, которые имитируют реальные ресурсы.
  • Почтовые рассылки или сообщения в социальных сетях, содержащие ссылки на фишинговые сайты.
  • Рассылки вредоносного программного обеспечения.

Атаки на организации чаще всего совершают третьим способом. Заражённый файл может нести в себе вирус практически любого типа. Например, вирус-шифровальщик, который распространяется на все компьютеры сети и зашифровывает данные. Ещё более тяжелыми последствиями обернётся запуск «трояна», открывающего злоумышленнику доступ к сети. Тогда он сможет атаковать её изнутри, похитить денежные средства или конфиденциальную информацию.

Антивирусные программы не способны заблокировать все подозрительные файлы. Поэтому компании, которые заботятся об информационной безопасности, внедряют дополнительные средства проактивной защиты. Наиболее действенный из них — так называемые песочницы. Это искусственная цифровая среда, куда помещают потенциально опасный файл и анализируют, как он себя ведёт.

Антон Фишман

, руководитель департамента системных решений Group IB

Важно регулярно обновлять установленное ПО. При создании большинства вирусов преступники эксплуатируют известные уязвимости. У крупных разработчиков есть специальные программы (bug bounty), в рамках которых «этичные хакеры» получают вознаграждение за обнаружение уязвимостей. Получив информацию, производители ПО имеют возможность их оперативно закрыть. Соответственно, при запуске заражённого файла встроенные средства безопасности Microsoft Windows заблокируют его.

В последнее время у злоумышленников растет популярность веб-фишинга, в исключительных случаях его используют для взлома корпоративных сетей. Преступники могут выяснить, например, какую систему документооборота использует организация, и создать ресурс, копирующий стартовую страницу этой системы. Ничего не подозревающий сотрудник вводит логин и пароль и передаёт их хакеру.

Признаки фишингового сайта:

  • Неправильное имя домена. Например, вместо «online.bank.ru» можно увидеть «onlinebank.ru». Иногда злоумышленники располагают сайт в поддомене — «bank.site.ru».
  • Отсутствие SSL-сертификата. Адреса настоящих сайтов начинаются на «https://». Если адрес начинается с «http://», это повод насторожиться.
  • Некорректное оформление: устаревший дизайн, грамматические и орфографические ошибки на странице, сбитая вёрстка, посторонние элементы дизайна.

Вирусы-шифровальщики

Бум вирусов-шифровальщиков пришёлся на 2017 год, когда мир столкнулся с эпидемиями WannaCry, NotPetya, BadRabbit. Но уже в следующем количество подобных таких атак снизилось на 73%. Атаки 2017 года показали компаниям, насколько важно осуществлять резервное копирование данных и более грамотно реагировать на подозрительные письма.

Современные средства защиты и обновлённое программное обеспечение справляются с большинством вирусов-шифровальщиков. Однако всегда есть вероятность, что преступники сумеют первыми найти уязвимость и воспользоваться ею. Вредоносные программы, использующие уязвимости в ПО, которые ещё не были закрыты, называются угрозами нулевого дня.

В таком случае от шифровальщика компанию спасёт резервное копирование данных и сегментирование сети — оно минимизирует возможность распространения вируса.

Важна также грамотная информационная политика: использование сложных паролей, многофакторная процедура аутентификации и защита доступа привилегированных учётных записей.

Большую опасность представляет использование неподдерживаемого ПО, например, Windows XP. Microsoft больше не работает над ликвидацией его уязвимостей. Так что пользователям, которые до сих пор используют эту операционную систему, стоит установить более позднюю версию.

Атаки на цепочки поставок программного обеспечения

Цепочка поставок ПО у крупных производителей состоит, как минимум, из четырёх этапов: разработка, стейджинг (проверка продукта в искусственной среде), тестирование, публикация дистрибутивов. На любой стадии преступники могут внедрить вредоносное ПО в исходное приложение или пакет обновлений. И пользователи, доверяя разработчикам, самостоятельно устанавливают вредоносную программу на свои компьютеры.

К примеру, хакер с помощью фишинга может проникнуть на компьютер разработчика и добавить в код дополнительные строки. Если компания-производитель применяет для хранения кода облачные системы, хакер может получить доступ к облачному репозиторию, чтобы заразить софт.

Другой способ — подмена сервера, с которого программное обеспечение получает обновления. В 2017 году злоумышленники взломали украинский сайт с обновлениями бухгалтерской программы M.E.Doc. В результате на тысячи компьютеров проник печально известный вирус-шифровальщик NotPetya.

Вероятность, что заражённым окажется софт от крупных производителей, которые строго контролируют цепочки поставок, очень мала.

Чтобы свести риск заражения компьютеров практически к нулю крупные компании, помимо антивирусных программ, используют новый класс решений — EDR (Endpoint Detection and Response). Это продвинутый инструмент для определения и расследования подозрительных активностей на компьютерах пользователей.

Скрытый майнинг криптовалют

С ростом популярности криптовалют преступники стали активно использовать скрытый майнинг, паразитирующий на вычислительных мощностях компьютеров.

Существует множество способов внедрения. Например, вредоносный JavaScript-код может быть встроен в легитимный сайт. Он майнит криптовалюту, пока пользователь находится на сайте, или закрепляется на компьютере через эксплуатацию незакрытой уязвимости. Также код может быть добавлен в программное обеспечение, которое преступники скомпрометировали, атаковав цепочку поставок.

Генерация разных криптовалют происходит по разным протоколам, и информация может передаваться очень редко. Поэтому на сетевом уровне отследить майнинг по резкому увеличению счёта за электроэнергию едва ли удастся.

Куда более явный сигнал — значительное снижение производительности компьютера, постоянная загрузка процессора. Если софт для майнинга распространится на компьютеры внутри корпоративной сети, это отразится на скорости многих процессов, оказав негативное влияние на бизнес компании.

Но тогда вирус сразу же заметят. Поэтому мошенники внедряют майнинг на отдельные компьютеры и ограничивают использование его ресурсов или на серверы, которыми мало кто постоянно пользуется.

Антон Фишман, руководитель департамента системных решений Group IB

Однако это не значит, что майнинговые коды не представляют угрозы для организаций. Они часто имеют дополнительную функциональность, которая открывает хакеру доступ к компьютеру, а через него — к сети организации.

Основной способ защиты — регулярная установка обновлений операционной системы и всех приложений. Не стоит устанавливать софт от поставщиков, которые не вызывают доверия. И тем более — загружать программы с торрент-трекеров.

Обеспечение информационной безопасности — комплексная задача. В ней нет неважных или второстепенных вопросов. Например, нельзя организовать защиту от внешних атак, не уделяя внимания подготовке персонала. Так же как нельзя полагаться исключительно на реактивные меры.

Эффективно противодействовать современным угрозам способны только те системы, которые с самых ранних стадий разработки проектировались с учётом требований безопасности. При этом безопасность – это не статичное состояние, а динамичный процесс, в рамках которого производители адаптируют свои решения для защиты от постоянно изменяющихся угроз.

Microsoft ежедневно анализирует триллионы сигналов и оперативно наращивает защиту своих сервисов и продуктов. Поэтому функция автоматического обновления ПО – Windows 10 и Office 365 – не единственный, но крайне важный элемент защиты организации.

Артём Синицын, руководитель программ информационной безопасности Microsoft в Центральной и Восточной Европе
55
17 комментариев

Комментарий недоступен

5

Увы, они их не выдумывают.

2

вот золотая жила братцы, люди панически боятся всяких вирусов, при этом уровень понимания как все работает нулевая у большинства юзеров, всякие аля касперские миллионы рубят на этих страхах, если просрочен платеж этим всяким антивирусникам, выскакивает огромная красная бляшка: Ваш компьютер под угрозой) который действует почти на уровне гипноза, и юзер идет платить, чтоб появилась зеленая бляха, Ваш компьютер защищен, можете спать спокойно) и человек успокаивается) Только никто не говорит что антивирусники ловят только те вредоносные коды, которые дали себя обнаружить и они есть в их базе, а прочие могут годами жить на компе и никто и знать не будет, и обнаружить их можно только по второстепенным признакам, комп тормозит, соединяется с непонятными серверами, в которые вроде и не заходил и прочее
В общем пишите антивирусники и будете жить в шоколаде)

4

Че только свинячий визг стоит, как вспомню в дрожь бросает

3

а вы на симкарту антивирус поставили?

Фишман думает по фишинг

2

Про SSL.
Сейчас его раздают всем направо и налево, так что будьте внимательнее.

1