Прицел на linux
Во II квартале 2021 года мы отметили, что тренд на ориентацию вредоносного ПО на Linux окончательно укрепился. Компания Trend Micro выпустила отчет об атаках на эту ОС за первое полугодие 2021 года, в котором сообщалось о более 13 млн зафиксированных попыток атак с использованием вредоносов. За весь 2021 год, по данным компании CrowdStrike, прирост ВПО, ориентированного на Linux, составил 35%.
Такой интерес злоумышленников к Linux был ожидаем, так как это широко распространенная ОС: по данным поисковой системы Censys, в интернете доступно около 14 млн устройств на платформе Linux. При этом вопросам, связанным с обеспечением ее безопасности, уделялось намного меньше внимания, нежели Windows.
В основном мы наблюдали появление Linux-версий шифровальщиков, банковских троянов, майнеров и вредоносного ПО для удаленного управления. Схожая статистика представлена и в отчете компании Trend Micro.
Вот наиболее интересные примеры того, как злоумышленники атаковали устройства на платформе Linux:
- собирали устройства с этой ОС в ботнеты для майнинга криптовалюты, распространяя вредоносы DreamBus и HolesWarm, и использовали ресурсы компаний, зараженных FreakOut, Gafgyt, Mirai, для проведения последующих DDoS-атак на другие организации;
- атаковали суперкомпьютеры, заражая их трояном Kobalos и похищая учетные данные для подключения по протоколу SSH;
- распространяли программы-вымогатели, например Pysa и TellYouThePass;
- похищали деньги с помощью банковского трояна CronRAT и вредоносного ПО для удаленного управления linux_avp;
- впервые использовали для доставки вредоноса инструменты IaC («инфраструктуры как кода»), например Ansible, Salt Stack и Chef;
- разрабатывали вредоносные библиотеки и распространяли их среди разработчиков ПО, имитируя, например, популярные NPM-пакеты Browserify и UA-Parser-JS.
Отхватить свой лакомый кусочек на базе Linux хотели и APT-группировки, такие как TeamTNT (в том числе в рамках кампании Chimaera) и Winnti. Ознакомиться с другими примерами вредоносов можно в наших аналитиках за II, III и IV квартал 2021 года.
Linux с каждым годом становится все более популярной и востребованной системой, что подтверждают и результаты ежегодного исследования РУССОФТ, поэтому, на наш взгляд, злоумышленники будут продолжать вкладывать ресурсы в разработку вредоносного ПО, ориентированного на Linux-системы. Если в вашей инфраструктуре задействована эта ОС, обязательно проводите сканирования на наличие вредоносной активности, проверяйте файлы перед их непосредственным запуском в системе в песочнице, своевременно устанавливайте обновления безопасности.
Среды виртуализации и оркестраторы в опасности
Одним из трендов этого года стали атаки на среды виртуализации и платформы для управления кластерами контейнеров. Разработчики вредоносов активно адаптируют свои продукты для атак на виртуальную инфраструктуру. Особый интерес к средам виртуализации проявили операторы программ-вымогателей. Группировки, распространяющие шифровальщики, активно использовали уязвимости. Например, RansomExx, Darkside и Babuk Locker активно использовали уязвимости, которые позволяют отправлять вредоносные запросы SLP на устройства VMware ESXi и таким образом получать над ними контроль.
Если в вашей инфраструктуре есть продукт VMware ESXi, мы рекомендуем установить обновления безопасности для указанных уязвимостей или вовсе отключить поддержку SLP для предотвращения атак (если поддержка протокола не требуется).
Еще одно направление, которое укрепилось в 2021 году, — использование среды виртуализации для того, чтобы избежать обнаружения средствами защиты информации. Такой способ очень действенный, потому что виртуальная машина может иметь доступ к файлам и каталогам компьютера через общие папки, что позволит шифровальщику, размещенному на виртуальной машине, шифровать файлы на самом компьютере. Этим способом пользовались, например, группировки Ragnar Locker и Conti.
Для защиты от подобных атак мы советуем контролировать списки ПО, которое развернуто на виртуальных машинах. Для этого можно использовать специальные инструменты для инвентаризации. Также стоит ограничить возможность создания новых неавторизованных виртуальных машин.
На протяжении всего 2021 года мы отмечали интерес разработчиков вредоносов к инструменту для оркестровки Kubernetes. На эту среду ориентирован и троян Hildegard, и бэкдор Siloscape, и ботнет Kaiten, и майнер XMRig Monero. Облачные хранилища также стали одной из излюбленных целей для атак, в ИТ-среде даже появился новый термин — ransomcloud — собирательное название шифровальщиков, ориентированных на облачные хранилища.
Взлет криптовалюты привлек преступников
Криптовалюта вновь на пике популярности. Злоумышленники, пристально следящие за тенденциями, также обратили на нее особое внимание. По нашим данным, количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. По данным аналитиков компании Chainalysis, в 2021 году преступники в общей сложности похитили 14 млрд долл. США.
Пятерка крупнейших по объему украденных средств атак на криптовалютные биржи:
- PolyNetwork — украдено около 600 млн долл. США. Несмотря на то, что злоумышленники вернули 260 млн долл., эта атака остается одной из крупнейших краж криптовалюты в истории.
- Cream Finance — украдено 130 млн долл. США. Были атакованы трижды за 2021 год.
- Badger — украдено 120 млн долл. США.
- Liquid — украдено 94 млн долл. США.
- EasyFi — украден 81 млн долл. США.
В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий популярность, — эксплуатация веб-уязвимостей на сайтах криптоплатформ.
Количество атак, связанных с кражей криптовалюты как у частных лиц, так и у криптовалютных бирж, будет продолжать расти и в 2022 году. Это связано с тем, что все затраты и сложности проведения атаки могут сполна окупиться при первой успешной попытке взлома. Основная причина успешных атак и краж денег — уязвимости в протоколах и в платформах. Поэтому мы рекомендуем принять превентивные меры, направленные на обнаружение уязвимостей. Например, внедрить программу bug bounty. Частным лицам мы советуем проявлять осторожность: не вводите данные для доступа к вашему криптокошельку на сторонних ресурсах, а информацию обо всех выгодных предложениях по хранению криптовалюты перепроверяйте в интернете. Используйте сложные пароли для доступа к кошельку. Для того чтобы облегчить этот процесс, можно воспользоваться менеджером паролей. В нем же можно установить срок его действия и получать напоминания о необходимости его смены.
Мы также не исключаем увеличения количества атак, связанных с блокчейн-технологиями, таких как взлом смарт-контрактов и мошенничество с NFT.
Рост числа атак на частных лиц: чего ожидать от 2022 года
Доля атак на частных лиц составляет 14% от числа всех атак, зафиксированных нами за год.
Рисунок 13. Количество атак на частных лиц в 2020 и 2021 годах
В таких атаках злоумышленники в основном преследуют мотив получения данных (доля в 2021 году — 77%) и финансовую выгоду (27%). Почти половину (46%) украденной информации составили учетные данные. Пятая часть от общего объема украденной информации — персональные данные.
Рисунок 14. Типы украденных данных (в атаках на частных лиц)
Компьютеры и сетевое оборудование частных лиц были объектами атак в 37% случаев, а в каждой четвертой атаке злоумышленники были нацелены на мобильные устройства.
Рисунок 15. Объекты атак на частных лиц (доля атак)
В 88% атак киберпреступники использовали методы социальной инженерии. При применении социальной инженерии злоумышленники стараются эксплуатировать актуальные темы и социально значимые события. Популярными темами фишинга в 2021 году были пандемия COVID-19, премьеры фильмов и сериалов, инвестиции, корпоративные рассылки.
Рисунок 16. Методы атак на частных лиц
Особой популярностью у злоумышленников в 2021 году пользовалась тема инвестирования. Такой интерес мы связываем с притоком непрофессиональных инвесторов. Например, только за прошедший год к торгам на Московской бирже присоединились более 6 млн человек. По данным Банка России, в III квартале 2021 года доля атак с использованием методов социальной инженерии на клиентов финансовых организаций выросла на 163,5% в сравнении с показателями III квартала 2020 года. Уже в начале 2022 года российские граждане столкнулись с фишинговыми атаками, в которых злоумышленники обещают помочь сохранить денежные накопления в случае отключения России от системы международных переводов SWIFT или предлагают заработать на арбитражной торговле, предлагая начинающим инвесторам приобретать стремительно дорожающие активы.
Другой популярный метод атак — заражение устройств частных лиц вредоносным ПО. Среди основных типов вредоносного ПО, которые преступники чаще всего использовали в атаках на частных лиц в 2021 году, — вредоносы для удаленного управления, шпионское ПО и банковские трояны. Доля ВПО для удаленного управления за год выросла с 16% до 34%. Банковские трояны также стали чаще встречаться в атаках на частных лиц: их доля выросла на 10 п. п. и составила 32%. Один из экземпляров этого типа ВПО — Anubis. Злоумышленники, которые распространяли его среди обладателей мобильных устройств на платформе Android, были нацелены на сбор учетных данных для 394 банковских приложений и криптовалютных кошельков.
Доля атак с применением программ-шпионов в 2021 году уменьшилась на 18 п. п. и составила 32%. Заметно выросла доля атак с использованием загрузчиков, которые позволяют устанавливать дополнительное вредоносное ПО на устройства жертвы: их доля составила 21%.
Рисунок 17. Типы вредоносного ПО в атаках на частных лиц (доля атак с использованием вредоносного ПО за 2021 год)
Для доставки вредоносов преступники задействовали сайты (35%), направляли вложения по электронной почте (29%) и размещали вредоносы в официальных магазинах приложений (12%).
Рисунок 18. Способы распространения ВПО в атаках на частных лиц
На наш взгляд, в 2022 году методы атак останутся примерно в том же соотношении, то есть большая часть атак будет связана с применением методов социальной инженерии. Предполагаемые темы для социальной инженерии в основном будут связаны с социально значимыми событиями. Для защиты от атак с использованием социальной инженерии мы советуем соблюдать основные правила информационной безопасности:
- не переходите по подозрительным ссылкам и не вводите учетные данные на ресурсах, не убедившись в их легитимности;
- не запускайте вложения, если они получены от неизвестного вам отправителя;
- устанавливайте приложения только из официальных магазинов и обращайте внимание на то, какие разрешения запрашивает приложение (например, приложение для обработки фотографий не должно запрашивать доступ к контактам);
- используйте сложные пароли, уникальные для каждого ресурса, и храните их в менеджере паролей;
- будьте бдительными и перепроверяйте информацию из писем, рассылок и новостных сообществ на сторонних ресурсах в интернете.
Об исследовании
Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.
По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.
Среды виртуализации и оркестраторы в опасности
Одним из трендов этого года стали атаки на среды виртуализации и платформы для управления кластерами контейнеров. Разработчики вредоносов активно адаптируют свои продукты для атак на виртуальную инфраструктуру. Особый интерес к средам виртуализации проявили операторы программ-вымогателей. Группировки, распространяющие шифровальщики, активно использовали уязвимости. Например, RansomExx, Darkside и Babuk Locker активно использовали уязвимости, которые позволяют отправлять вредоносные запросы SLP на устройства VMware ESXi и таким образом получать над ними контроль.
Если в вашей инфраструктуре есть продукт VMware ESXi, мы рекомендуем установить обновления безопасности для указанных уязвимостей или вовсе отключить поддержку SLP для предотвращения атак (если поддержка протокола не требуется).
Еще одно направление, которое укрепилось в 2021 году, — использование среды виртуализации для того, чтобы избежать обнаружения средствами защиты информации. Такой способ очень действенный, потому что виртуальная машина может иметь доступ к файлам и каталогам компьютера через общие папки, что позволит шифровальщику, размещенному на виртуальной машине, шифровать файлы на самом компьютере. Этим способом пользовались, например, группировки Ragnar Locker и Conti.
Для защиты от подобных атак мы советуем контролировать списки ПО, которое развернуто на виртуальных машинах. Для этого можно использовать специальные инструменты для инвентаризации. Также стоит ограничить возможность создания новых неавторизованных виртуальных машин.
На протяжении всего 2021 года мы отмечали интерес разработчиков вредоносов к инструменту для оркестровки Kubernetes. На эту среду ориентирован и троян Hildegard, и бэкдор Siloscape, и ботнет Kaiten, и майнер XMRig Monero. Облачные хранилища также стали одной из излюбленных целей для атак, в ИТ-среде даже появился новый термин — ransomcloud — собирательное название шифровальщиков, ориентированных на облачные хранилища.
Взлет криптовалюты привлек преступников
Криптовалюта вновь на пике популярности. Злоумышленники, пристально следящие за тенденциями, также обратили на нее особое внимание. По нашим данным, количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. По данным аналитиков компании Chainalysis, в 2021 году преступники в общей сложности похитили 14 млрд долл. США.
Пятерка крупнейших по объему украденных средств атак на криптовалютные биржи:
- PolyNetwork — украдено около 600 млн долл. США. Несмотря на то, что злоумышленники вернули 260 млн долл., эта атака остается одной из крупнейших краж криптовалюты в истории.
- Cream Finance — украдено 130 млн долл. США. Были атакованы трижды за 2021 год.
- Badger — украдено 120 млн долл. США.
- Liquid — украдено 94 млн долл. США.
- EasyFi — украден 81 млн долл. США.
В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий популярность, — эксплуатация веб-уязвимостей на сайтах криптоплатформ.
Количество атак, связанных с кражей криптовалюты как у частных лиц, так и у криптовалютных бирж, будет продолжать расти и в 2022 году. Это связано с тем, что все затраты и сложности проведения атаки могут сполна окупиться при первой успешной попытке взлома. Основная причина успешных атак и краж денег — уязвимости в протоколах и в платформах. Поэтому мы рекомендуем принять превентивные меры, направленные на обнаружение уязвимостей. Например, внедрить программу bug bounty. Частным лицам мы советуем проявлять осторожность: не вводите данные для доступа к вашему криптокошельку на сторонних ресурсах, а информацию обо всех выгодных предложениях по хранению криптовалюты перепроверяйте в интернете. Используйте сложные пароли для доступа к кошельку. Для того чтобы облегчить этот процесс, можно воспользоваться менеджером паролей. В нем же можно установить срок его действия и получать напоминания о необходимости его смены.
Мы также не исключаем увеличения количества атак, связанных с блокчейн-технологиями, таких как взлом смарт-контрактов и мошенничество с NFT.
Рост числа атак на частных лиц: чего ожидать от 2022 года
Доля атак на частных лиц составляет 14% от числа всех атак, зафиксированных нами за год.
Рисунок 13. Количество атак на частных лиц в 2020 и 2021 годах
В таких атаках злоумышленники в основном преследуют мотив получения данных (доля в 2021 году — 77%) и финансовую выгоду (27%). Почти половину (46%) украденной информации составили учетные данные. Пятая часть от общего объема украденной информации — персональные данные.
Рисунок 14. Типы украденных данных (в атаках на частных лиц)
Компьютеры и сетевое оборудование частных лиц были объектами атак в 37% случаев, а в каждой четвертой атаке злоумышленники были нацелены на мобильные устройства.
Рисунок 15. Объекты атак на частных лиц (доля атак)
В 88% атак киберпреступники использовали методы социальной инженерии. При применении социальной инженерии злоумышленники стараются эксплуатировать актуальные темы и социально значимые события. Популярными темами фишинга в 2021 году были пандемия COVID-19, премьеры фильмов и сериалов, инвестиции, корпоративные рассылки.
Рисунок 16. Методы атак на частных лиц
Особой популярностью у злоумышленников в 2021 году пользовалась тема инвестирования. Такой интерес мы связываем с притоком непрофессиональных инвесторов. Например, только за прошедший год к торгам на Московской бирже присоединились более 6 млн человек. По данным Банка России, в III квартале 2021 года доля атак с использованием методов социальной инженерии на клиентов финансовых организаций выросла на 163,5% в сравнении с показателями III квартала 2020 года. Уже в начале 2022 года российские граждане столкнулись с фишинговыми атаками, в которых злоумышленники обещают помочь сохранить денежные накопления в случае отключения России от системы международных переводов SWIFT или предлагают заработать на арбитражной торговле, предлагая начинающим инвесторам приобретать стремительно дорожающие активы.
Другой популярный метод атак — заражение устройств частных лиц вредоносным ПО. Среди основных типов вредоносного ПО, которые преступники чаще всего использовали в атаках на частных лиц в 2021 году, — вредоносы для удаленного управления, шпионское ПО и банковские трояны. Доля ВПО для удаленного управления за год выросла с 16% до 34%. Банковские трояны также стали чаще встречаться в атаках на частных лиц: их доля выросла на 10 п. п. и составила 32%. Один из экземпляров этого типа ВПО — Anubis. Злоумышленники, которые распространяли его среди обладателей мобильных устройств на платформе Android, были нацелены на сбор учетных данных для 394 банковских приложений и криптовалютных кошельков.
Доля атак с применением программ-шпионов в 2021 году уменьшилась на 18 п. п. и составила 32%. Заметно выросла доля атак с использованием загрузчиков, которые позволяют устанавливать дополнительное вредоносное ПО на устройства жертвы: их доля составила 21%.
Рисунок 17. Типы вредоносного ПО в атаках на частных лиц (доля атак с использованием вредоносного ПО за 2021 год)
Для доставки вредоносов преступники задействовали сайты (35%), направляли вложения по электронной почте (29%) и размещали вредоносы в официальных магазинах приложений (12%).
Рисунок 18. Способы распространения ВПО в атаках на частных лиц
На наш взгляд, в 2022 году методы атак останутся примерно в том же соотношении, то есть большая часть атак будет связана с применением методов социальной инженерии. Предполагаемые темы для социальной инженерии в основном будут связаны с социально значимыми событиями. Для защиты от атак с использованием социальной инженерии мы советуем соблюдать основные правила информационной безопасности:
- не переходите по подозрительным ссылкам и не вводите учетные данные на ресурсах, не убедившись в их легитимности;
- не запускайте вложения, если они получены от неизвестного вам отправителя;
- устанавливайте приложения только из официальных магазинов и обращайте внимание на то, какие разрешения запрашивает приложение (например, приложение для обработки фотографий не должно запрашивать доступ к контактам);
- используйте сложные пароли, уникальные для каждого ресурса, и храните их в менеджере паролей;
- будьте бдительными и перепроверяйте информацию из писем, рассылок и новостных сообществ на сторонних ресурсах в интернете.
Об исследовании
Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.
По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.
Уязвимости в тренде
На протяжении всего года в каждом квартале мы фиксировали появление громких уязвимостей, которые злоумышленники тут же использовали. Например, ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j . В 2021 году доля хакинга и эксплуатации веб-уязвимостей суммарно составила 43% среди всех использованных методов в атаках на организации, что на 8 п. п. больше, чем в предыдущем году.
Мы подготовили собственный перечень наиболее часто используемых уязвимостей этого года (табл. 1). Если в вашей инфраструктуре используется ПО, в котором были выявлены эти уязвимости, рекомендуем проверить, установлены ли для них обновления безопасности.
Таблица 1. Популярные уязвимости, опубликованные в 2021 году
| Идентификатор уязвимости | Тип уязвимости | Базовая оценка CVSS | ПО, в котором обнаружена |
|---|---|---|---|
| CVE-2021-27101 | Удаленное выполнение кода | 9,8 | Accellion FTA |
| CVE-2021-27103 | Подделка запроса на стороне сервера | 9,8 | Accellion FTA |
| CVE-2021-27104 | Удаленное выполнение кода | 9,8 | Accellion FTA |
| CVE-2021-27102 | Удаленное выполнение кода | 7,8 | Accellion FTA |
| CVE-2021-26855 (ProxyLogon) | Подделка запроса на стороне сервера | 9,8 | Сервер Microsoft Exchange |
| CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (ProxyLogon) | Удаленное выполнение кода | 7,8 | Сервер Microsoft Exchange |
| CVE-2021-44228 | Удаленное выполнение кода | 10,0 | Библиотека Apache Log4j2 |
| CVE-2021-28799 | Удаленное выполнение кода | 9,8 | QNAP NAS |
| CVE-2021-34527 (PrintNightmare) | Удаленное выполнение кода | 8,8 | Диспетчер печати Windows |
| CVE-2021-34473 (ProxyShell) | Удаленное выполнение кода | 9,8 | Сервер Microsoft Exchange |
| CVE-2021-34523 (ProxyShell) | Повышение привилегий | 9,8 | Сервер Microsoft Exchange |
| CVE-2021-31207 (ProxyShell) | Обход аутентификации | 7,2 | Сервер Microsoft Exchange |
| CVE-2021-40444 | Удаленное выполнение кода | 7,8 | Модуль MSHTML в Internet Explorer |
| CVE-2021-21972 (обнаружена экспертом Positive Technologies Михаилом Ключниковым) | Удаленное выполнение кода | 9,8 | VMware |
На наш взгляд, тенденция, связанная с ростом количества атак с использованием известных уязвимостей, сохранится и в 2022 году. Прежде всего из-за того, что во многих компаниях процесс управления уязвимостями осуществляется недостаточно эффективно, компании не успевают за короткий срок установить обновления безопасности. Злоумышленники действуют очень быстро, особенно когда появляется общедоступный эксплойт. По нашим данным, на разработку эксплойта в среднем уходит 24 часа. К примеру, для уязвимости в библиотеке Log4j в течение нескольких дней появилось более 60 публичных эксплойтов.
Мы настоятельно рекомендуем обратить внимание на то, как организован процесс управления уязвимостями в компании. Основная проблема, с которой сталкиваются сотрудники подразделений ИБ — приоритизация уязвимостей для устранения. В конце 2021 года мы опубликовали свои рекомендации по решению этой проблемы.
Прицел на linux
Во II квартале 2021 года мы отметили, что тренд на ориентацию вредоносного ПО на Linux окончательно укрепился. Компания Trend Micro выпустила отчет об атаках на эту ОС за первое полугодие 2021 года, в котором сообщалось о более 13 млн зафиксированных попыток атак с использованием вредоносов. За весь 2021 год, по данным компании CrowdStrike, прирост ВПО, ориентированного на Linux, составил 35%.
Такой интерес злоумышленников к Linux был ожидаем, так как это широко распространенная ОС: по данным поисковой системы Censys, в интернете доступно около 14 млн устройств на платформе Linux. При этом вопросам, связанным с обеспечением ее безопасности, уделялось намного меньше внимания, нежели Windows.
В основном мы наблюдали появление Linux-версий шифровальщиков, банковских троянов, майнеров и вредоносного ПО для удаленного управления. Схожая статистика представлена и в отчете компании Trend Micro.
Вот наиболее интересные примеры того, как злоумышленники атаковали устройства на платформе Linux:
- собирали устройства с этой ОС в ботнеты для майнинга криптовалюты, распространяя вредоносы DreamBus и HolesWarm, и использовали ресурсы компаний, зараженных FreakOut, Gafgyt, Mirai, для проведения последующих DDoS-атак на другие организации;
- атаковали суперкомпьютеры, заражая их трояном Kobalos и похищая учетные данные для подключения по протоколу SSH;
- распространяли программы-вымогатели, например Pysa и TellYouThePass;
- похищали деньги с помощью банковского трояна CronRAT и вредоносного ПО для удаленного управления linux_avp;
- впервые использовали для доставки вредоноса инструменты IaC («инфраструктуры как кода»), например Ansible, Salt Stack и Chef;
- разрабатывали вредоносные библиотеки и распространяли их среди разработчиков ПО, имитируя, например, популярные NPM-пакеты Browserify и UA-Parser-JS.
Отхватить свой лакомый кусочек на базе Linux хотели и APT-группировки, такие как TeamTNT (в том числе в рамках кампании Chimaera) и Winnti. Ознакомиться с другими примерами вредоносов можно в наших аналитиках за II, III и IV квартал 2021 года.
Linux с каждым годом становится все более популярной и востребованной системой, что подтверждают и результаты ежегодного исследования РУССОФТ, поэтому, на наш взгляд, злоумышленники будут продолжать вкладывать ресурсы в разработку вредоносного ПО, ориентированного на Linux-системы. Если в вашей инфраструктуре задействована эта ОС, обязательно проводите сканирования на наличие вредоносной активности, проверяйте файлы перед их непосредственным запуском в системе в песочнице, своевременно устанавливайте обновления безопасности.
Среды виртуализации и оркестраторы в опасности
Одним из трендов этого года стали атаки на среды виртуализации и платформы для управления кластерами контейнеров. Разработчики вредоносов активно адаптируют свои продукты для атак на виртуальную инфраструктуру. Особый интерес к средам виртуализации проявили операторы программ-вымогателей. Группировки, распространяющие шифровальщики, активно использовали уязвимости. Например, RansomExx, Darkside и Babuk Locker активно использовали уязвимости, которые позволяют отправлять вредоносные запросы SLP на устройства VMware ESXi и таким образом получать над ними контроль.
Если в вашей инфраструктуре есть продукт VMware ESXi, мы рекомендуем установить обновления безопасности для указанных уязвимостей или вовсе отключить поддержку SLP для предотвращения атак (если поддержка протокола не требуется).
Еще одно направление, которое укрепилось в 2021 году, — использование среды виртуализации для того, чтобы избежать обнаружения средствами защиты информации. Такой способ очень действенный, потому что виртуальная машина может иметь доступ к файлам и каталогам компьютера через общие папки, что позволит шифровальщику, размещенному на виртуальной машине, шифровать файлы на самом компьютере. Этим способом пользовались, например, группировки Ragnar Locker и Conti.
Для защиты от подобных атак мы советуем контролировать списки ПО, которое развернуто на виртуальных машинах. Для этого можно использовать специальные инструменты для инвентаризации. Также стоит ограничить возможность создания новых неавторизованных виртуальных машин.
На протяжении всего 2021 года мы отмечали интерес разработчиков вредоносов к инструменту для оркестровки Kubernetes. На эту среду ориентирован и троян Hildegard, и бэкдор Siloscape, и ботнет Kaiten, и майнер XMRig Monero. Облачные хранилища также стали одной из излюбленных целей для атак, в ИТ-среде даже появился новый термин — ransomcloud — собирательное название шифровальщиков, ориентированных на облачные хранилища.
Взлет криптовалюты привлек преступников
Криптовалюта вновь на пике популярности. Злоумышленники, пристально следящие за тенденциями, также обратили на нее особое внимание. По нашим данным, количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. По данным аналитиков компании Chainalysis, в 2021 году преступники в общей сложности похитили 14 млрд долл. США.
Пятерка крупнейших по объему украденных средств атак на криптовалютные биржи:
- PolyNetwork — украдено около 600 млн долл. США. Несмотря на то, что злоумышленники вернули 260 млн долл., эта атака остается одной из крупнейших краж криптовалюты в истории.
- Cream Finance — украдено 130 млн долл. США. Были атакованы трижды за 2021 год.
- Badger — украдено 120 млн долл. США.
- Liquid — украдено 94 млн долл. США.
- EasyFi — украден 81 млн долл. США.
В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий популярность, — эксплуатация веб-уязвимостей на сайтах криптоплатформ.
Количество атак, связанных с кражей криптовалюты как у частных лиц, так и у криптовалютных бирж, будет продолжать расти и в 2022 году. Это связано с тем, что все затраты и сложности проведения атаки могут сполна окупиться при первой успешной попытке взлома. Основная причина успешных атак и краж денег — уязвимости в протоколах и в платформах. Поэтому мы рекомендуем принять превентивные меры, направленные на обнаружение уязвимостей. Например, внедрить программу bug bounty. Частным лицам мы советуем проявлять осторожность: не вводите данные для доступа к вашему криптокошельку на сторонних ресурсах, а информацию обо всех выгодных предложениях по хранению криптовалюты перепроверяйте в интернете. Используйте сложные пароли для доступа к кошельку. Для того чтобы облегчить этот процесс, можно воспользоваться менеджером паролей. В нем же можно установить срок его действия и получать напоминания о необходимости его смены.
Мы также не исключаем увеличения количества атак, связанных с блокчейн-технологиями, таких как взлом смарт-контрактов и мошенничество с NFT.
Рост числа атак на частных лиц: чего ожидать от 2022 года
Доля атак на частных лиц составляет 14% от числа всех атак, зафиксированных нами за год.
Рисунок 13. Количество атак на частных лиц в 2020 и 2021 годах
В таких атаках злоумышленники в основном преследуют мотив получения данных (доля в 2021 году — 77%) и финансовую выгоду (27%). Почти половину (46%) украденной информации составили учетные данные. Пятая часть от общего объема украденной информации — персональные данные.
Рисунок 14. Типы украденных данных (в атаках на частных лиц)
Компьютеры и сетевое оборудование частных лиц были объектами атак в 37% случаев, а в каждой четвертой атаке злоумышленники были нацелены на мобильные устройства.
Рисунок 15. Объекты атак на частных лиц (доля атак)
В 88% атак киберпреступники использовали методы социальной инженерии. При применении социальной инженерии злоумышленники стараются эксплуатировать актуальные темы и социально значимые события. Популярными темами фишинга в 2021 году были пандемия COVID-19, премьеры фильмов и сериалов, инвестиции, корпоративные рассылки.
Рисунок 16. Методы атак на частных лиц
Особой популярностью у злоумышленников в 2021 году пользовалась тема инвестирования. Такой интерес мы связываем с притоком непрофессиональных инвесторов. Например, только за прошедший год к торгам на Московской бирже присоединились более 6 млн человек. По данным Банка России, в III квартале 2021 года доля атак с использованием методов социальной инженерии на клиентов финансовых организаций выросла на 163,5% в сравнении с показателями III квартала 2020 года. Уже в начале 2022 года российские граждане столкнулись с фишинговыми атаками, в которых злоумышленники обещают помочь сохранить денежные накопления в случае отключения России от системы международных переводов SWIFT или предлагают заработать на арбитражной торговле, предлагая начинающим инвесторам приобретать стремительно дорожающие активы.
Другой популярный метод атак — заражение устройств частных лиц вредоносным ПО. Среди основных типов вредоносного ПО, которые преступники чаще всего использовали в атаках на частных лиц в 2021 году, — вредоносы для удаленного управления, шпионское ПО и банковские трояны. Доля ВПО для удаленного управления за год выросла с 16% до 34%. Банковские трояны также стали чаще встречаться в атаках на частных лиц: их доля выросла на 10 п. п. и составила 32%. Один из экземпляров этого типа ВПО — Anubis. Злоумышленники, которые распространяли его среди обладателей мобильных устройств на платформе Android, были нацелены на сбор учетных данных для 394 банковских приложений и криптовалютных кошельков.
Доля атак с применением программ-шпионов в 2021 году уменьшилась на 18 п. п. и составила 32%. Заметно выросла доля атак с использованием загрузчиков, которые позволяют устанавливать дополнительное вредоносное ПО на устройства жертвы: их доля составила 21%.
Рисунок 17. Типы вредоносного ПО в атаках на частных лиц (доля атак с использованием вредоносного ПО за 2021 год)
Для доставки вредоносов преступники задействовали сайты (35%), направляли вложения по электронной почте (29%) и размещали вредоносы в официальных магазинах приложений (12%).
Рисунок 18. Способы распространения ВПО в атаках на частных лиц
На наш взгляд, в 2022 году методы атак останутся примерно в том же соотношении, то есть большая часть атак будет связана с применением методов социальной инженерии. Предполагаемые темы для социальной инженерии в основном будут связаны с социально значимыми событиями. Для защиты от атак с использованием социальной инженерии мы советуем соблюдать основные правила информационной безопасности:
- не переходите по подозрительным ссылкам и не вводите учетные данные на ресурсах, не убедившись в их легитимности;
- не запускайте вложения, если они получены от неизвестного вам отправителя;
- устанавливайте приложения только из официальных магазинов и обращайте внимание на то, какие разрешения запрашивает приложение (например, приложение для обработки фотографий не должно запрашивать доступ к контактам);
- используйте сложные пароли, уникальные для каждого ресурса, и храните их в менеджере паролей;
- будьте бдительными и перепроверяйте информацию из писем, рассылок и новостных сообществ на сторонних ресурсах в интернете.
Об исследовании
Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.
По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.