WatchGuard Threat Lab сообщает, что к концу третьего квартала 2021 года объем вредоносных программ и программ-вымогателей уже превысил общие показатели 2020 года

Атаки со сценариями на конечные устройства устанавливают новые рекорды, а зашифрованные соединения становятся основным механизмом доставки вредоносных программ нулевого дня.

 

20 января 2022 г. — WatchGuard® Technologies, один из лидеров в области сетевой безопасности и аналитики, расширенной защиты конечных устройств, многофакторной аутентификации (MFA) и безопасного Wi-Fi, сегодня выпустила новый ежеквартальный отчет по безопасности в Интернете, описывающий тенденции вредоносного ПО и угроз сетевой безопасности в третьем квартале 2021 года, проанализированные исследователями WatchGuard Threat Lab. Данные показывают, что, хотя общий объем обнаружения вредоносных программ по периметру снизился по сравнению с максимумами, достигнутыми в предыдущем квартале, обнаружение вредоносных программ на конечных точках уже превысило общий объем, наблюдаемый в 2020 году (данные за четвертый квартал 2021 года еще не опубликованы). Кроме того, значительный процент вредоносного ПО продолжает поступать через зашифрованные соединения, продолжая тенденцию предыдущих кварталов.

 

«Хотя общий объем сетевых атак в третьем квартале немного сократился, число вредоносных программ на устройство увеличилось впервые с начала пандемии, — отметил Кори Нахрайнер (Corey Nachreiner), директор по безопасности WatchGuard. - Глядя на прошедший год в целом, можно сказать, что обстановка в сфере безопасности продолжает оставаться сложной. Важно, чтобы организации сосредоточились на тенденциях, влияющих на состояние безопасности их сетей».

 

Наиболее важные выводы из отчета WatchGuard по интернет-безопасности за третий квартал 2021 года:

 

Почти 50% вредоносных программ нулевого дня в настоящее время доставляется через зашифрованные соединения. В то время как общее количество вредоносных программ нулевого дня увеличилось на 3% (до 67,2%) в Q3, процент вредоносных программ, доставленных через протокол TLS, резко вырос с 31,6% до 47%.

 

По мере того, как пользователи обновляются до более поздних версий Microsoft Windows и Office, злоумышленники сосредотачиваются на новых уязвимостях. Хотя неисправленные уязвимости в старом программном обеспечении по-прежнему представляют собой богатые возможности для злоумышленников, они также стремятся использовать уязвимости в последних версиях Microsoft. В третьем квартале CVE-2018-0802, использующая уязвимость в Equation Editor в Microsoft Office, взломала 10 самых популярных антивирусных вредоносных программ WatchGuard по объему, заняв 6-е место после появления в списке самых распространенных вредоносных программ в предыдущем квартале. Кроме того, вредоносные коды Windows (Win32/Heim.D и Win32/Heri) заняли 1-е и 6-е места в списке наиболее обнаруживаемых программ соответственно.

 

Подавляющее большинство сетевых атак в Q3 было направлено на США (64,5%), на Европу - 15,5% и на Азиатско-Тихоокеанский регион - 20%.

В целом обнаружение сетевых атак вернулось к более нормальной траектории, но по-прежнему сопряжено со значительными рисками. После роста более чем на 20% в течение нескольких кварталов подряд служба предотвращения вторжений (IPS) WatchGuard обнаружила примерно 4,1 миллиона уникальных сетевых эксплойтов в Q3. Падение на 21% привело к снижению объемов до уровней первого квартала, которые все еще были высокими по сравнению с предыдущим годом. Этот сдвиг не обязательно означает, что злоумышленники сдаются, поскольку они, возможно, переключают свое внимание на более целенаправленные атаки.

 

Подавляющее большинство атак приходится на 10 основных сигнатур сетевых атак. Из 4 млн. атак, обнаруженных IPS в Q3, 81% приходится на 10 основных сигнатур. На самом деле, в третьем квартале в первой десятке появилась только одна новая сигнатура — «Удаленное включение файлов WEB /etc/passwd» (1054837), нацеленная на старые, но все еще широко используемые веб-серверы Microsoft Internet Information Services (IIS). Одна подпись (1059160), SQL-инъекция, продолжает удерживать позицию, которую она занимает в списке со второго квартала 2019 года.

 

Атаки со сценариями на конечные устройства продолжаются рекордными темпами — к концу 3-го квартала в средствах анализа угроз WatchGuard AD360 и WatchGuard Endpoint Protection, Detection and Response (EPDR) уже было зафиксировано на 10% больше сценариев атак, чем за весь 2020 г. (что, в свою очередь, привело к росту на 666%, по сравнению с прошлым годом). Поскольку гибридный образ работы уже выглядит привычным, надежного периметра уже недостаточно для предотвращения угроз. Хотя у киберпреступников есть несколько способов атаковать конечные устройства — от эксплойтов приложений до атак на основе скриптов — даже самые слабые из них могут нанести вред с помощью сценариев, таких как PowerSploit, PowerWare и Cobalt Strike, не будучи при этом обнаруженными конечным устройством.

 

Даже обычно безопасные домены могут быть скомпрометированы — недостаток протокола в системе Microsoft Exchange Server Autodiscover позволил злоумышленникам собрать учетные данные домена и скомпрометировать несколько обычно заслуживающих доверия доменов. В целом, в Q3 устройства WatchGuard Fireboxe заблокировали 5,6 миллиона вредоносных доменов, в том числе несколько новых вредоносных доменов, пытающихся установить программное обеспечение для криптомайнинга, кейлоггеров и троянов удаленного доступа (RAT), а также фишинговые домены, маскирующиеся под сайты SharePoint для сбора учетных данных входа в Office365. Несмотря на снижение на 23% по сравнению с предыдущим кварталом, количество заблокированных доменов по-прежнему в несколько раз превышает уровень, наблюдавшийся в четвертом квартале 2020 года (1,3 миллиона). Это подчеркивает острую необходимость для организаций сосредоточиться на обновлении серверов, баз данных, веб-сайтов и систем с помощью последних исправлений, чтобы ограничить уязвимости, которые могут использовать злоумышленники.

 

Программы-вымогатели. После резкого спада в 2020 году количество атак программ-вымогателей к концу сентября достигло 105% от объема 2020 года (как прогнозировал WatchGuard в конце предыдущего квартала) и вскоре достигнет 150% за весь год. Возможность воспользоваться программой-вымогателем как услугой  (такой как REvil и GandCrap) не упускают даже самые неопытные преступники.

 

Крупнейший инцидент нарушений безопасности в Kaseya стал еще одним примером сохраняющейся угрозы цифровых атак на цепочку поставок. Незадолго до начала длинных праздничных выходных 4 июля в США десятки организаций начали сообщать об атаках программ-вымогателей на их конечные устройства. В анализе инцидентов, проведенном WatchGuard, описано, как злоумышленники, работающие с программой-вымогателем REvil как услугой (RaaS), использовали три уязвимости нулевого дня (включая CVE-2021-30116 и CVE-2021-30118) в Kaseya VSA Remote Monitoring and Management (RMM) для доставки программ-вымогателей примерно в 1500 организаций и, возможно, на миллионы конечных устройств. Хотя ФБР в конце концов скомпрометировало серверы REvil и через несколько месяцев получило ключ дешифрования, атака послужила суровым напоминанием о необходимости активно предпринимать такие шаги, как использование доступа с нулевым доверием (Zero Trust), использование принципа наименьших привилегий для доступа к поставщику и обеспечение безопасности путем обновления и исправления систем для сведения к минимуму влияния атак на цепочку поставок.

 

Ежеквартальные исследовательские отчеты WatchGuard основаны на анонимных данных Firebox Feed от активных устройств WatchGuard Firebox, владельцы которых решили поделиться данными для поддержки исследовательской деятельности WatchGuard Threat Lab. В третьем квартале WatchGuard заблокировал в общей сложности более 16,6 млн. вариантов вредоносных программ (в среднем по 454 на устройство) и более 4 млн. сетевых угроз. Полный отчет включает подробную информацию о дополнительных вредоносных программах и тенденциях за 3й квартал 2021 года, еще более глубокий анализ угроз, обнаруженных на конечных устройствах в первой половине 2021 года, рекомендуемые стратегии безопасности и важные советы по защите для компаний любого размера и в любом секторе.

 

Подробный обзор исследования WatchGuard можно найти в полном отчете по интернет-безопасности за Q3 2021 года: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2021.

 

Полезные ссылки

Межсетевые экраны нового поколения >>

Поддержка решений в области Информационной безопасности >>

Связаться с нами >>

 

Другие новости 

11.02.2021 | Новые возможности облачной платформы WatchGuard открывают эру упрощенного управления безопасностью.
29.01.2021 | Новые межсетевые экраны WatchGuard обеспечивают необходимую защиту, в которой нуждаются организации, и обладают способностью развиваться в будущем.
21.12.2020 | Отчет WatchGuard подробно описывает влияние COVID-19 на ландшафт угроз безопасности.