Что в тренде у злоумышленников - positive …...•...
TRANSCRIPT
ptsecurity.com
Актуальные киберугрозы 2019 года
Что в тренде у злоумышленников
Авезова Яна, аналитик
ptsecurity.com
План вебинара
1. Статистика кибератак за 2019 год: динамика, жертвы, мотивы.
2. Тренды. Угрозы, актуальные для всех.
3. Отраслевая специфика:
• государственные учреждения,
• промышленность,
• финансовые организации,
• онлайн-сервисы и интернет-магазины.
4. Выводы и прогнозы на 2020 год.
Динамика атак
95
114
103 100
115
101
126
90 91
118 122
89
143
113
91
141
112104
136
111
132
152
132141
0
20
40
60
80
100
120
140
160
2018 2019
прирост числа
кибератак в 2019
году по сравнению
с 2018 годом
19%
Кого атакуют
20%Госучреждения
10%Промышленность
8%Медицина
8%Наука и образование
8%Финансовая отрасль
IT-компании
5%
Топ-6 жертв среди юридических лиц (доли атак)
19%всех атак были
направлены против
частных лиц
Чего хотят злоумышленники
60%атак на
юридические лица
57%атак на частных
лиц
В цене:
• учетные данные
• персональные данные
• данные платежных карт
совершаются с целью
кражи данных
Что в тренде• Целенаправленные атаки, APT-атаки
• Многофункциональное вредоносное ПО
• Бесфайловые атаки
• Атаки троянов-шифровальщиков
• Шантаж санкциями за нарушение GDPR
• Эксплуатация критически опасных уязвимостей
в популярном ПО
• Веб-скимминг MageCart: кража платежных
данных из интернет-магазинов
Целевые атаки
47%
59%
65%
67%
Q1
Q2
Q3
Q4
Доля целевых атак в 2019 году
Целевая атака — атака на
конкретную компанию или отрасль
40%60%
APT
Массовые атаки Целевые атаки
APTНаиболее активные
APT-группировки:
• APT17
• APT27
• APT37
• APT-C-35
• Bisonal
• Bronze Union
• Cobalt
• Silence
• Lazarus
• TaskMasters
• SongXY
• Gamaredon
• RTM
• TA505
Наши исследования по теме APT:
• Взломать любой ценой: сколько
может стоить APT
• Тактики и техники APT-атак на
российские организации:
• кредитно-финансовой сферы;
• топливно-энергетического
комплекса;
• промышленности;
• государственного сектора.
Разделение труда
Сообщения о поиске сообщников
ptsecurity.com
Заражения вредоносным ПО
Немного статистики
63%
49%56% 55%56% 58%
72% 71%
0%
20%
40%
60%
80%
100%
Q1 Q2 Q3 Q4
2018 2019
Доля атак с использованием ВПО
прирост числа атак с
использованием ВПО в 2019 году
по сравнению с 2018 годом
38%
66%
51%
14%
14%
8%
6%
58%
63%
2%
9%
5%
2%
0% 20% 40% 60% 80% 100%
Использование ВПО
Социальная инженерия
Эксплуатация веб-уязвимостей
Хакинг
Подбор учетных данных
Другие
Юридические лица Частные лица
Методы атак
Чем и как заражают
Типы вредоносного ПО
31%
25%14%
14%
5%
3% 3% 5%26%
19%
11%11%
8%
8%
5%
4% 8%
Шифровальщик
Шпионское ПО
Рекламное ПО
ВПО для удаленного управления
Загрузчик
Майнер
Банковский троян
Многофункциональное ВПО
Другие
в атаках на
юридические
лица
в атаках на
частных лиц
65%заражений ВПО в компаниях происходит
через фишинговые рассылки
30%заражений ВПО среди обычных
пользователей происходит через сайты
Формула успеха
вредоносных кампаний
Маскировка
• расширения файлов,
которые включены в
белые списки
• встраивание в
легитимные процессы
• подпись ВПО с
использованием
легитимного сертификата
• бесфайловые атаки
Новые
эксплойтыМного-
функциональность
• новые эксплойт-киты
• экплойты для
уязвимостей в
популярном ПО
• экплойты для
уязвимостей нулевого
дня
• Шифровальщик FTCODE
• Руткит Scranos
• Инфостилер Clipsa
ptsecurity.com
Атаки шифровальщиков
Шифровальщики наступают
18%Госучреждения
18%Наука и
образование
14%Медицина
Топ-3 жертв среди юридических
лиц (доли атак шифровальщиков)
Динамика атак шифровальщиков
(доли заражений ВПО)
24% 28%24%
34%
Q1 Q2 Q3 Q4
Шифровальщики в цифрах:
• $ 600 тыс. — выкуп, заплаченный
правительством Ривьера-Бич (США)
• $ 18 млн — ущерб от атаки на Балтимор (США)
• 400 клиник пострадали в результате атаки на
поставщика облачных технологий PerCSoft
Наиболее активные:
• GandCrab (в первой половине года)
• Ryuk
• Purga
• Sodinokibi
• LockerGoga
• Stop
• Shade
Способы распространения
• Электронные письма с вредоносными вложениями
• Атаки типа drive-by при посещении зараженных веб-
ресурсов
• Компрометация серверов путем эксплуатации
уязвимостей
• Подбор учетных данных для доступа по RDP
• Торрент-трекеры
Примеры писем, распространяющих шифровальщик
Shade
Новые способы вымогательства
ptsecurity.com
Топ опасных уязвимостей года
RCE 2019 в популярном ПО
Идентификатор
CVSS
Base
Score
Уязвимое ПО Примеры ВПО и атак
CVE-2019-19781 9.8 Citrix ADC, Gateway, SD-WAN
CVE-2019-11043 8.7 PHP-FPM Шифровальщик NextCry
CVE-2019-10149 9.8 Exim Криптомайнинговый ботнет
WatchBog
CVE-2019-0708
(BlueKeep)
9.8 Microsoft Windows RDS Майнеры Monero
CVE-2019-2725 9.8 Oracle WebLogic Server APT-атаки группы Panda
CVE-2019-11510 9.9 Pulse Secure Pulse Connect
Secure
Шифровальщик Sodinokibi
CVE-2019-3396 9.8 Atlassian Confluence APT-атаки группы APT41
RCE в Citrix
• Идентификатор: CVE-2019-19781
• Уязвимое ПО: Citrix ADC, Gateway,
линейка SD-WAN
• Описание: возможность удаленного
выполнения кода без аутентификации
пользователя
• Уровень риска: критический
(CVSS 3.1 Base Score 9.8)
• Эксплойты: естьВыявление эксплуатации CVE-2019-19781
с помощью PT NAD
ptsecurity.com
Атаки на государственныеорганизации
Госучреждения: сводка за год
60%
21%
16%
3%
Получение данных
Финансовая выгода
Хактивизм
Кибервойна
Мотивы атак
35%
26%
18%
12%
9%
Персональные данные
Коммерческая тайна
Данные платежных карт
Учетные данные
Другая информация
Типы украденных данных
70%компьютеры, серверы,
сетевое оборудование
23%
веб-ресурсы
Основные объекты атак
Госучреждения: динамика атак
5146
36
53
45
53
6974
Q1 Q2 Q3 Q4
2018 2019
Число атак
64%
54%
19%
10%
4%
10%
Использование ВПО
Социальная инженерия
Эксплуатация веб-уязвимостей
Хакинг
Подбор учетных данных
Другие
Методы атак
44%
62%75%
66%
Q1 Q2 Q3 Q4
Динамика доли атак с использованием ВПО
Взлом правительственных сайтов
Дефейс сайта
администрации Рязани
Взлом сайта правительства Тувы
APT-атаки на госучреждения
Госучреждения атакуют:
• APT28
• DarkHydrus
• TA505
• RTM
• Gamaredon
• APT-C-35
• Bisonal
• SongXY
• Turla
87%APT-групп начинают атаки на
российские госучреждения с
фишинговых писем
RTM
Bisonal
Gamaredon
ptsecurity.com
Атаки на промышленность
Промышленность: динамика атак
Число атак
97
9
15
28 27
37
33
Q1 Q2 Q3 Q4
2018 2019
Доля атак на
промышленные компании
выросла до 10%против 4% в 2018 году
10% 10%
12%
9%
Q1 Q2 Q3 Q4
Доля атак среди юридических лиц
90%
84%
8%
4%
2%
3%
Использование ВПО
Социальная инженерия
Хакинг
Эксплуатация веб-уязвимостей
Подбор учетных данных
Другие
Методы атак
Промышленность: сводка за год
Мотивы атак Типы украденных данных
95% атакнаправлены на
компьютеры, серверы и
сетевое оборудование
88%
9%
2% 1%
Получение данных
Финансовая выгода
Хактивизм
Кибервойна
49%
37%
9%
5%
Учетные данные
Коммерческая тайна
Персональные данные
Другая информация
Промышленность атакуют:
• RTM
• APT33
• APT34
• TA505
• Bronze Union
• TaskMasters
RTM vs промышленность
Пример фишингового письма (Q1)
Пример фишингового письма (Q4)
Темы писем
• Сверки финансовых
документов
• Заявки
• Акты
• Счета на оплату
• Прочие финансовые
документы
Что еще, кроме RTM
ВПО в атаках на промышленность:
• Шпионское ПО RTM
• Шпионское ПО LokiBot
• Шпионское ПО AZORult
• Шпионское ПО AgentTesla
• Шпионское ПО Dtrack
• Кейлоггер HawkEye
• Ботнет Emotet
• ВПО для удаленного управления FlawedAmmyy
• ВПО для удаленного управления ServHelper
• ВПО для удаленного управления Adwind
• Шифровальщик LockerGoga
• Шифровальщик DoppelPaymer
• Шифровальщик BitPaymer
• Шифровальщик Ryuk
53%
29%
12%
6%
Шпионское ПО
ВПО для удаленного управления
Шифровальщик
Другие
Типы ВПО (доли атак на промышленность с
использованием ВПО)
90% атаксовершались с
использованием
вредоносного ПО
Атаки шифровальщиков
Объявление о кибератаке на дверях
компании Norsk Hydro
Источник: arstechnica.com
Январь Nyrstar (Бельгия)
Altran Technologies (Франция)
Март Hexion и Momentive (США)
Norsk Hydro (Норвегия)
Апрель Aebi Schmidt (Швейцария)
Июнь ASCO (Бельгия)
Октябрь Pilz (Германия)
Ноябрь Pemex (Германия)
Декабрь TECNOL (Испания)
ptsecurity.com
Атаки на финансовую отрасль
Финансовые организации:
статистика атак
22
18
29
23
17 16
2831
Q1 Q2 Q3 Q4
2018 2019
Число атак
85%
80%
5%
2%
1%
3%
Использование ВПО
Социальная инженерия
Хакинг
Подбор учетных данных
Эксплуатация веб-уязвимостей
Другие
Методы атак
5 днейв среднем требуется для
проникновения во внутреннюю
сеть банка
Исследование «Тестирование на
проникновение в организациях
кредитно-финансового сектора»
Фишинговые рассылки в
банки
Банки атакуют:
• Cobalt
• Silence
• Неизвестная группа
(предположительно FinTeam)
• Lazarus
• RTM
• TA505
Silence
Cobalt
TA505
Атаки на финансовые
организации: тенденции
• Число атак на организации кредитно-финансовой сферы
осталось на уровне 2018 года, однако их доля в общем числе
атак на юридические лица снижается.
• Растет число банковских организаций, вовлеченных в процесс
взаимного обмена информацией об актуальных угрозах.
• Несмотря на положительные тенденции, общий уровень
защищенности сетевого периметра финансовых организаций
оценивается как низкий или крайне низкий.
• На высоком уровне сохраняется количество атак на клиентов
банков — обычных людей, юридических лиц и индивидуальных
предпринимателей.
украденных у частных
лиц данных — это
данные их платежных
карт
27%
Атаки на
онлайн-сервисы
и интернет-
магазины
Атаки на онлайн-сервисы
3
9
16
2
1614
10
7
Q1 Q2 Q3 Q4
2018 2019
Число атак
62%
32%
6%
Получение данных
Хактивизм
Финансовая выгода
Мотивы атак
49%эксплуатация веб-
уязвимостей
15%подбор учетных
данных
Основные методы атак
Какие данные похищают
Типы украденных данных
38%
28%
18%
8%8%
Учетные данные
База данных клиентов
Персональные данные
Личная переписка
Другая информация
Объявление в дарквебе о продаже
базы пользователей российского
образовательного онлайн-сервиса
MageCart атакуют интернет-
магазины
Преобладающий метод
распространения — supply chain
• Компрометация платформ для рекламы, веб-
сервисов аналитики
• Компрометация платформ для электронной
коммерции
• Атаки на поставщиков расширений для CMS
• Взлом репозиториев CDN
• Подбор паролей к хранилищам Amazon S3
Злоумышленник
Внедрение JS-сниффера
MageCart в стороннее ПО
Загрузка MageCart на
сайты интернет-магазинов
Перехват платежных данных в
процессе оплаты товаров
Выводы и
прогнозы
Выводы
1. Минувший год прошел под эгидой сложных целенаправленных атак.
2. Из года в год злоумышленников привлекают крупные организации из ключевых
отраслей экономики — госучреждения, промышленность, финансовый сектор.
3. Филиалы, дочерние предприятия, подрядчики услуг могут использоваться как
менее защищенное, промежуточное звено через которое легче проникнуть в
организацию — конечную цель атаки.
4. Профессиональные взломщики регулярно ищут и используют в атаках новые
уязвимости, меняют тактики и техники, чтобы оставаться необнаруженными.
5. Бизнес начал осознавать, что APT-атаки — это по-настоящему значимый риск.
Сегодня организации всерьез интересуются вопросами ИБ, стремятся выявлять
киберинциденты в инфраструктуре, анализировать действия злоумышленников,
задаются вопросом, готова ли их компания к атакам.
Прогнозы на 2020 год
1. Тенденция на преобладание целевых атак сохранится. Не исключено, что будут выявлены
следы новых APT-группировок, не изученных ранее.
2. Получит развитие тренд атак на провайдеров IT-услуг и вендоров. Эти категории компаний
будут использоваться злоумышленниками как плацдарм для нападения на крупный бизнес,
а также для маскировки своих действий.
3. Доступы, полученные в результате взлома нецелевых компаний, будут продаваться или
сдаваться в аренду в дарквебе как отдельный вид услуг.
4. Операторы шифровальщиков будут развивать агрессивную политику и пойдут на новые
меры, чтобы побудить жертв заплатить выкуп.
5. Атаки MageCart продолжатся ввиду высокой эффективности метода supply chain, что
подтверждается сотнями тысяч скомпрометированных в 2019 году сайтов.
6. Ввиду популярности мобильного банкинга среди пользователей, злоумышленники с
большой долей вероятности будут переходить на атаки мобильных банковских приложений,
в том числе с использованием методов социальной инженерии.
Наши исследования
Аналитика:ptsecurity.com/ru-ru/research/analytics/
Вебинары:ptsecurity.com/ru-ru/research/webinar/
Блог:habr.com/ru/company/pt/blog/
ptsecurity.com
Спасибо
за внимание!