Угрозы информационной безопасности в 2017 году: шифровальщики, ICO, IoT-ботнеты – исследование

Компания Positive Technologies опубликовала исследование «Актуальные киберугрозы-2017», в котором описаны главные тенденции прошедшего года в области ИБ, а также сделаны прогнозы на 2018 год.

Среди трендов аналитики выделяют популярность троянов-шифровальщиков; активное использование вредоносного ПО для POS-терминалов и банкоматов; атаки на криптовалютные биржи, кошельки частных лиц и ICO-стартапы; рост ботнетов за счет новых IoT-устройств и т.д. В исследовании отмечается, что в России отношение к вопросам информационной безопасности становится более ответственным как со стороны государства, так и отдельных отраслей.

Тренды-2017

Главный тренд 2017 года — трояны-шифровальщики. Ими пользуются не только вымогатели, но и диверсанты, которые безвозвратно шифруют данные, нанося тем огромный урон компаниям.

Становится всё более распространённым явление «ransomware as a service» (вид киберпреступлений, связанных с вымогательством денег у жертвы) одни и те же трояны стали многократно использоваться разными лицами, а порог входа в киберпреступный бизнес снизился.

Вместе с ростом числа вредоносных кампаний увеличивается и количество пострадавших от них обычных пользователей.

Развивается направление вредоносного ПО, нацеленного на промышленные IT-системы.

Отдельно авторы отчёта отмечают вредоносное ПО для POS-терминалов и банкоматов, именно оно использовалось в каждой восьмой атаке на банк.

Самыми похищаемыми данными стали медицинская информация и данные платёжных карт. Персональные же данные на чёрном рынке упали в цене.

Ажиотаж вокруг криптовалюты и существенный рост популярности ICO (initial coin offering, первичного размещения токенов) привлек и злоумышленников, направивших атаки на криптовалютные биржи, кошельки частных лиц и ICO-стартапы.

В среднем атаки стали содержать больше этапов, а в их выполнении стало участвовать больше людей.

Ботнеты продолжили расти за счёт IoT-устройств, и, как следствие, увеличилась средняя мощность DDoS-атак.

Действия киберпреступников в 2017 году оказались связаны со многими громкими политическими событиями – кибератаки становятся действенным методом влияния на общественное мнение и инструментом грязной политической борьбы.

В России отношение к вопросам информационной безопасности становится более ответственным как со стороны государства, так и отдельных отраслей. В 2017 году утверждена программа «Цифровая экономика», одним из векторов которой является обеспечение информационной безопасности. В различных отраслях развиваются центры по противодействию киберугрозам (например, ФинЦЕРТ, КЦПКА), а также создаются центры ГосСОПКА. Это позволяет снизить нагрузку на регуляторов и учесть специфику защиты информационных систем в каждой из отдельных отраслей.

По данным исследования, в 2017 году наибольший интерес злоумышленников был направлен на частных лиц: на них пришлась четверть всех атак (26%). Что касается организаций, то больше других от кибератак страдали госструктуры (13% атак), банки и онлайн-сервисы (по 8%).

Категории жертв, пострадавших от атак в 2017 году.

Все больше атак затрагивают одновременно две, три, десять и более стран. Тем не менее, США и Россия в течение 2017 года были абсолютными лидерами по числу киберинцидентов. Это может быть связано с тем, что на эти страны в первую очередь было направлено внимание общественности и СМИ, хотя в целом атакам подвергались не менее 64 стран по всему миру. Наиболее частыми жертвами кибератак становились Великобритания, Австралия, Канада, Индия, Япония, Украина, Израиль и Китай.

География кибератак 2017 года.

В 2017 году наблюдалось совершенствование методов социальной инженерии. Наиболее часто использовали фишинговые сайты и фишинговые рассылки для целевых атак на организации. Чтобы письма выглядели правдоподобно, злоумышленники подделывали адреса отправителей, регистрировали домены, похожие на доверенные, и даже взламывали контрагентов, чтобы отправлять письма от их имен в обход спам-фильтров.

Общий ущерб от атак методом социальной инженерии в 2017 году составил более 250 миллионов долларов.

Количество и доля атак методом социнженерии.

Большое количество кибератак было направлено и на обычных пользователей. В ходе таких атак злоумышленникам, как правило, требовались банковская информация (номера карт, учетные данные онлайн-банкинга), а также учетные данные различных онлайн-сервисов и электронной почты. Для их получения преступники подделывали веб-сайты, с помощью писем доставляли на компьютер жертв вредоносное ПО, в SMS-сообщениях убеждали перейти по ссылке на фишинговый ресурс или просто уговаривали сообщить по телефону всю необходимую информацию.

Ущерб от компрометации учетных данных в 2017 году составил более 100 миллионов долларов.

Количество и доля компрометации учетных данных.

На государственные организации были направлены 13% всех атак.

Примечательно, что несколько атак с использованием вредоносного ПО были нацелены на личные мобильные телефоны госслужащих. Из-за того, что сотрудники часто проверяют в свободное время рабочую почту со смартфонов, злоумышленникам становилась доступна конфиденциальная информация, касающаяся организации, в которой они работали.

Объекты и мотивы атак на госорганизации.

Треть атак на государственные организации (34%) была направлена на получение данных (шпионаж). В атаках такого рода главной целью злоумышленников является получение доступа к внутренним ресурсам компании и защищаемой информации.

Количество и методы атак на госорганизации.

Медицинские сведения более двух миллионов человек в 2017 году стали доступны злоумышленникам в результате атак на медучреждения. Примечательно, что эта информация востребована на черном рынке и оценивается в 10–15 раз выше паспортных данных. В половине атак (56%) киберпреступники проникали во внутреннюю сеть организации (например, в результате фишинговой рассылки в адрес сотрудников или подобрав пароли от учетных записей) и получали доступ к серверам и базам данных.

Объекты и мотивы атак на медучреждения.

Образовательные учреждения часто становятся жертвами самих учащихся. Причем речь идет не только об университетах, где обучают, среди прочего, навыкам программирования, но и об обычных общеобразовательных школах. Ученики находят в Интернете вредоносное ПО и с его помощью взламывают компьютерную систему учебного заведения, чтобы подменить оценки на более высокие.

Еще один популярный мотив атак на учебные учреждения это получение персональных данных об учащихся, в которых обычно содержится такая информация как адрес проживания, адреса электронной почты родителей, места их работы. Эти данные могут быть использованы в целевой атаке на компанию, в которой работают родители. Финансовую выгоду, как правило, киберпреступники получали, требуя выкуп у самих образовательных учреждений (например, за восстановление данных) или продавая свои услуги по взлому (например, для подмены оценок в системе).

Объекты и мотивы атак на образовательные учреждения.

По итогам 2017 года самыми частыми объектами атак стали инфраструктура и веб-ресурсы компаний, доли таких атак составили 47% и 26% соответственно. Стоит также отметить, что наблюдалось увеличение числа атак на банкоматы и POS-терминалы: оно превысило показатели 2016 года в семь раз.

Объекты и методы атак.