Get best of the week

Cyber-Ziele 2019 als Trends 2020 - Hacker haben ihren Fokus geändert


Jedes Jahr verzeichnen wir einen Anstieg der Anzahl von Cyber-Vorfällen: Hacker entwickeln neue Tools oder ändern vorhandene. Wie war 2019? Auf den ersten Blick keine Überraschungen: Das Volumen der Vorfälle stieg um bis zu 30% und belief sich auf mehr als 1,1 Millionen Fälle. Wenn Sie jedoch tiefer graben, wird es offensichtlich: Auf der Suche nach "einfachem" Geld haben die Angreifer den Fokus auf neue Ziele verlagert. Im Allgemeinen gab es mehr externe Angriffe - ihr Anteil ist auf 58% gestiegen (54% im Vorjahr). Gleichzeitig stieg der Anteil komplexer Angriffe deutlich an: 55% der Ereignisse wurden mit ausgeklügelten intellektuellen Abwehrmechanismen entdeckt (2018 gab es 28% solcher Vorfälle). Grundlegende Mittel in solchen Situationen sind machtlos. Im Folgenden erfahren Sie, welchen Gefahren Unternehmen im vergangenen Jahr ausgesetzt waren und was Sie in naher Zukunft erwarten können.

Ein bisschen über die Methodik: Wie und was haben wir berücksichtigt?


Alle hier dargestellten Statistiken beziehen sich auf unsere Kunden, und dies sind mehr als 100 Organisationen aus verschiedenen Branchen: öffentlicher Sektor, Finanzen, Öl und Gas, Energie, Telekommunikation, Einzelhandel. Alle Unternehmen repräsentieren das Großunternehmen und das Unternehmenssegment mit einer durchschnittlichen Anzahl von Mitarbeitern ab 1000 Mitarbeitern und bieten Dienstleistungen in verschiedenen Regionen des Landes an.

Unsere erste Priorität ist es, Schutz zu bieten und daher die Aktionen des Angreifers bei den Anflügen zu identifizieren, bevor er in die Infrastruktur eindringt. Dies schränkt uns natürlich bei der Festlegung der Ziele des Angreifers ein: direkter Gewinn, Sammeln sensibler Informationen, Sicherung der Infrastruktur für den weiteren Verkauf von Ressourcen, Hacktivismus ... Um eine ausgewogene Analyse des Geschehens vorzunehmen, haben wir eine kombinierte Technik verwendet, die sich auf die Merkmale des Angriffs stützt.

Bei der frühzeitigen Erkennung von Vorfällen (vor der eigentlichen Behebung der Angreifer und der Entwicklung eines Angriffs in der Infrastruktur) haben wir die Angriffstechniken und -methoden, die Funktionalität der Malware, die Zuordnung und die Daten zur Hacker-Gruppe usw. berücksichtigt.

Manchmal entdeckten wir Angriffe in der Verteilungsphase neuer verbundener Kunden, in diesem Fall auf kompromittierte Hosts, die wir berücksichtigten: deren territoriale Verteilung, Funktionalität, die Möglichkeit, eines der oben genannten Ziele zu erreichen, die Dynamik und den Bewegungsvektor des Cyberkriminellen.

Wenn Clients, die keine Solar JSOC-Dienste verwenden, im Rahmen der Untersuchung von Vorfällen im Endstadium Angriffe entdeckten, wurden die tatsächlichen Schadensdaten zum Hauptkriterium für den Angriffsvektor.

Aus der Statistik wurden die sogenannten einfachen Angriffe ausgeschlossen, die nicht zu echten Vorfällen im Bereich der Informationssicherheit führten: Botnetzaktivität, Netzwerkscannen, erfolglose Ausnutzung von Sicherheitslücken und Erraten von Passwörtern.

Was genau haben wir 2019 erlebt?

Kontrolle ist teurer als Geld


Der direkte Diebstahl von Geldern liegt nicht mehr im Trend. Im Jahr 2019 ging die Anzahl solcher Angriffe um 15% zurück, obwohl der Indikator zuvor von Jahr zu Jahr stetig gewachsen war. Dies deutet nicht zuletzt auf eine Erhöhung des Sicherheitsniveaus im Kredit- und Finanzbereich hin. Die schnelle und direkte Monetarisierung von Angriffen wird immer schwieriger, und Cyberkriminelle wechseln zu günstigeren Zielen.

Die Anzahl der Angriffe, die darauf abzielen, die Kontrolle über die Infrastruktur zu erlangen, stieg um 40%. Mehr als 16% der Angriffe richteten sich gegen Objekte von KII, während ihr Ziel das Segment automatisierter Prozessleitsysteme oder geschlossener Segmente war. Dies ist auf die geringe Cyber-Hygiene und die häufige Vermischung von Unternehmens- und technologischen Netzwerken zurückzuführen. Während der Überwachung in 95% der Organisationen fanden wir mindestens zwei Mischpunkte aus offenen und geschlossenen Segmenten.

Der Trend ist alarmierend, da Angreifer, die in den Umkreis eindringen, die internen Prozesse des Unternehmens detailliert untersuchen können. Es gibt viele Möglichkeiten, diese Präsenzpunkte weiter zu nutzen: von Industriespionage über den Verkauf des Zugangs zum Darknet bis hin zur direkten Erpressung.

Externe Vorfälle


Arten von externen Angriffen










VPO auf eine neue Art und Weise


Bei der Auswahl von Tools zum Hacken der Infrastruktur sind Hacker konservativ und bevorzugen Malware, die über infizierte Anhänge oder Phishing-Links in E-Mails auf den Computer des Benutzers übertragen wird. Im Jahr 2019 wurde diese Methode in mehr als 70% der Fälle angewendet.

Im Allgemeinen nehmen Angriffe mit Malware stetig zu - im vergangenen Jahr um 11%. Gleichzeitig wird die schädliche Software selbst komplexer: Jede fünfte Malware, die mit Phishing-Mailings an den Computer des Benutzers gesendet wird, verfügt über integrierte Sandbox-Bypass-Tools.

VPO Entwicklungstrends


  • ( ) RTM. «» (, , ) C&C-, TOR. , , RTM, , .
  • 2019 Troldesh, , . , -.
  • 2019 stealer – Pony, Loki Hawkeye. , VBInJect ( VBCrypt). , VBInJect, . , .
  • . DDE (Microsoft Dynamic Data Exchange), Microsoft , .
  • Microsoft Office CVE-2017-11882 CVE-2018-0802. , , .
  • . – , .
  • Emotet ( , ). WordPress , . : , (: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
  • 2019 Windows – BlueKeep DejaBlue, RDP. in the wild . Eternal Blue. 2018 , , .


Auch die Angriffe auf Webanwendungen nehmen stetig zu - ihr Anteil stieg im Jahresverlauf um 13%. Der Grund ist einfach: Immer mehr Unternehmen und staatliche Organisationen richten ihre eigenen Internetportale ein, achten jedoch nicht ausreichend auf die Sicherheit solcher Ressourcen. Infolgedessen weist jede dritte Website eine kritische Sicherheitsanfälligkeit auf, die es ihr ermöglicht, privilegierten Zugriff auf den Server (Web-Shell) zu erhalten.

Administratorkennwort: Wenn Einfachheit schlimmer ist als Diebstahl


Relativ einfache Authentifizierungsdaten für Webressourcen-Admin-Panels und RDP-Terminalserver spielen auch Cyberkriminellen in die Hände. Laut unseren Daten dauert es weniger als 5 Stunden, bis Sie mit Malware infiziert sind, wenn Sie ein schwaches Administratorkennwort verwenden und über das Internet auf diese Dienste zugreifen. Meistens handelt es sich um einen Miner, eine Ransomware oder einen relativ einfachen Virus, z. B. Monero Miner, Miner Xmig, Watchbog, Dbg Bot oder Scarab.

Wehe dem Verstand


DDoS-Angriffe zeigen einen signifikanten technologischen Fortschritt. Im Jahr 2019 nutzten Angreifer 40% häufiger IoT-Botnets, um DDoS durchzuführen. Wie Sie wissen, sind IoT-Geräte schlecht geschützt und können leicht geknackt werden, wodurch DDoS-Angriffe billiger und erschwinglicher werden. Angesichts der stetig wachsenden Anzahl solcher Geräte werden wir in naher Zukunft möglicherweise einem neuen Anstieg dieser Bedrohung ausgesetzt sein.

Gefahren im Inneren


Trotz der Zunahme externer Angriffe bleiben interne Vorfälle eine ernsthafte Bedrohung. Die Anzahl der Lecks vertraulicher Informationen nimmt weiter zu: Sie machen mehr als die Hälfte der internen Vorfälle aus, und in den kommenden Jahren wird dieser Indikator wahrscheinlich zunehmen. Gleichzeitig wird die Anzahl der Vorfälle im Zusammenhang mit der Verletzung des Internetzugangs erheblich reduziert. Dies zeigt indirekt die Entwicklung der Technologie: Viele Kunden sind von alten Firewalls und Proxys auf fortschrittlichere Systeme umgestiegen.

Arten von internen Angriffen









Süße die Pille


Es gibt auch positive Veränderungen: Die Unternehmen unternahmen verstärkt Anstrengungen, um den Perimeter zu schützen. Wenn 2018 mehr als 260.000 russische Server für EternalBlue anfällig waren, ging ihre Zahl 2019 auf 49,7.000 zurück. Darüber hinaus ist die Dynamik beim Schließen von Sicherheitslücken in Russland deutlich höher als im weltweiten Durchschnitt - russische Server machen weniger als 5% der gefährdeten Server in Russland aus die Welt. Obwohl ungefähr 40% der Server, die immer noch anfällig sind, großen kommerziellen oder staatlichen Unternehmen gehören.

More articles:


All Articles