Get best of the week

Cyber ​​apunta a 2019 como tendencias 2020: los hackers han cambiado su enfoque


Cada año registramos un aumento en la cantidad de incidentes cibernéticos: los hackers presentan nuevas herramientas o modifican las existentes. ¿Cómo fue el 2019? A primera vista, no hay sorpresas: el volumen de incidentes creció hasta en un 30% y ascendió a más de 1.1 millones de casos. Pero si profundizas, se vuelve obvio: en la búsqueda de dinero "fácil", los atacantes cambiaron su enfoque a nuevos objetivos. En general, ha habido más ataques externos: su participación ha aumentado al 58% (54% un año antes). Al mismo tiempo, la proporción de ataques complejos aumentó significativamente: el 55% de los eventos se detectaron utilizando defensas intelectuales sofisticadas (en 2018, tales incidentes fueron del 28%). Los remedios básicos en tales situaciones son impotentes. A continuación le diremos qué peligros enfrentaron las empresas en el último año y qué esperar en el futuro cercano.

Un poco sobre metodología: cómo y qué consideramos


Todas las estadísticas presentadas aquí se relacionan con nuestros clientes, y estas son más de 100 organizaciones de diferentes industrias: sector público, finanzas, petróleo y gas, energía, telecomunicaciones, comercio minorista. Todas las empresas representan la gran empresa y el segmento empresarial con un número promedio de empleados de 1000 personas y brindan servicios en diferentes regiones del país.

Nuestra primera prioridad es proporcionar protección y, por lo tanto, identificar las acciones del atacante en los enfoques, antes de penetrar en la infraestructura. Esto, por supuesto, nos limita a la hora de determinar los objetivos del atacante: ganancia directa, recopilación de información confidencial, seguridad en la infraestructura para la venta de recursos, hacktivismo ... Para hacer un análisis equilibrado de lo que está sucediendo, utilizamos una técnica combinada que se basa en las características del ataque.

Al detectar incidentes en una etapa temprana (antes de la reparación real de los atacantes y el desarrollo de un ataque en la infraestructura), tomamos en cuenta las técnicas y métodos de ataque, la funcionalidad del malware, la atribución y los datos sobre el grupo de hackers, etc.

A veces detectamos ataques en la fase de distribución de nuevos clientes conectados, en este caso, en hosts comprometidos, tomamos en cuenta: su distribución territorial, funcionalidad, la posibilidad de realizar uno de los objetivos anteriores, la dinámica y el vector de movimiento del cibercriminal.

Si, como parte de la investigación de incidentes, los clientes que no utilizan los servicios de Solar JSOC detectaron ataques en la etapa final, los datos de daños reales se convirtieron en el criterio clave para determinar el vector de ataque.

De las estadísticas, excluimos los llamados ataques simples que no condujeron a incidentes reales de seguridad de la información: actividad de botnet, escaneo de red, explotación fallida de vulnerabilidades y adivinación de contraseñas.

¿Qué encontramos exactamente en 2019?

El control es más caro que el dinero.


El robo directo de fondos ya no está en tendencia. En 2019, el número de tales ataques disminuyó en un 15%, aunque antes de eso, el indicador había estado creciendo de año en año. No menos importante, esto indica un aumento en el nivel de seguridad en la esfera crediticia y financiera. La monetización de ataques rápidos y directos se está volviendo cada vez más difícil, y los ciberdelincuentes están cambiando a objetivos más asequibles.

El número de ataques destinados a obtener el control sobre la infraestructura aumentó en un 40%. Más del 16% de los ataques apuntaban a objetos de KII, mientras que su objetivo era el segmento de sistemas automatizados de control de procesos o segmentos cerrados. Esto se debe a su bajo nivel de higiene cibernética y la mezcla frecuente de redes corporativas y tecnológicas. Durante el monitoreo en el 95% de las organizaciones, encontramos al menos dos puntos de mezcla de segmentos abiertos y cerrados.

La tendencia es alarmante porque, al penetrar en el perímetro, los atacantes pueden examinar en detalle los procesos internos de la empresa. Hay muchas opciones, ya que utilizan estos puntos de presencia: desde el espionaje industrial hasta la venta de acceso en la red oscura o el chantaje directo.

Incidentes externos


Tipos de ataques externos










VPO de una nueva manera


Al elegir las herramientas para piratear la infraestructura, los hackers son conservadores y prefieren el malware que se envía a la máquina del usuario a través de archivos adjuntos infectados o enlaces de phishing en los correos electrónicos. En 2019, este método se utilizó en más del 70% de los casos.

En general, los ataques con malware están creciendo de manera constante, en un 11% durante el año pasado. Al mismo tiempo, el software malicioso en sí mismo se vuelve más complejo: cada quinto malware entregado a la máquina del usuario con correos de phishing tiene herramientas incorporadas de omisión de sandbox.

Tendencias de desarrollo de VPO


  • ( ) RTM. «» (, , ) C&C-, TOR. , , RTM, , .
  • 2019 Troldesh, , . , -.
  • 2019 stealer – Pony, Loki Hawkeye. , VBInJect ( VBCrypt). , VBInJect, . , .
  • . DDE (Microsoft Dynamic Data Exchange), Microsoft , .
  • Microsoft Office CVE-2017-11882 CVE-2018-0802. , , .
  • . – , .
  • Emotet ( , ). WordPress , . : , (: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
  • 2019 Windows – BlueKeep DejaBlue, RDP. in the wild . Eternal Blue. 2018 , , .


Los ataques a las aplicaciones web también muestran un crecimiento constante: su participación durante el año aumentó en un 13%. La razón es simple: cada vez más empresas y organizaciones estatales comienzan sus propios portales de Internet, pero no prestan suficiente atención a la seguridad de dichos recursos. Como resultado, cada tercer sitio web tiene una vulnerabilidad crítica que le permite obtener acceso privilegiado al servidor (shell web).

Contraseña de administrador: cuando la simplicidad es peor que el robo


Los datos de autenticación relativamente simples para los paneles de administración de recursos web y los servidores de terminal RDP también juegan en manos de los cibercriminales. Según nuestros datos, si utiliza una contraseña de administrador débil y abre el acceso a estos servicios desde Internet, pasarán menos de 5 horas antes de que se infecten con malware. La mayoría de las veces será un minero, ransomware o un virus relativamente simple, por ejemplo, Monero Miner, Miner Xmig, Watchbog, Dbg Bot o Scarab.

Ay de la mente


Los ataques DDoS demuestran un progreso tecnológico significativo. En 2019, los atacantes tenían un 40% más de probabilidades de usar botnets IoT para realizar DDoS. Como sabe, los dispositivos IoT están mal protegidos y se rompen fácilmente, lo que hace que los ataques DDoS sean más baratos y asequibles. Dado el aumento constante en el número de tales dispositivos, quizás en un futuro cercano enfrentaremos un nuevo aumento en esta amenaza.

Peligros adentro


A pesar del crecimiento de los ataques externos, los incidentes internos siguen siendo una amenaza grave. El número de filtraciones de información confidencial continúa creciendo: representan más de la mitad de los incidentes internos, y en los próximos años es probable que este indicador crezca. Pero al mismo tiempo, el número de incidentes relacionados con la violación del acceso a Internet se reduce significativamente. Esto muestra indirectamente el desarrollo de la tecnología: muchos clientes han migrado desde viejos firewalls y servidores proxy a sistemas más avanzados.

Tipos de ataques internos









Endulzar la píldora


También hay cambios positivos: las empresas comenzaron a hacer más esfuerzos para proteger el perímetro. Si en 2018 más de 260 mil servidores rusos fueron vulnerables a EternalBlue, entonces en 2019 su número disminuyó a 49.7 mil. Además, la dinámica de cerrar vulnerabilidades en Rusia es significativamente más alta que el promedio mundial: los servidores rusos representan menos del 5% de los vulnerables en el mundo. Aunque aproximadamente el 40% de los servidores que aún son vulnerables son propiedad de grandes empresas comerciales o gubernamentales.

More articles:


All Articles