Get best of the week

Cyber ​​vise 2019 comme tendances 2020 - les pirates ont changé d'orientation


Chaque année, nous enregistrons une augmentation du nombre de cyberincidents: les pirates proposent de nouveaux outils ou modifient ceux qui existent. À quoi ressemblait 2019? À première vue, pas de surprise: le volume d'incidents a augmenté de près de 30% et s'élève à plus de 1,1 million de cas. Mais si vous creusez plus profondément, cela devient évident: dans la poursuite de l'argent «facile», les attaquants se sont tournés vers de nouvelles cibles. En général, il y a eu plus d'attaques externes - leur part est passée à 58% (54% un an plus tôt). Dans le même temps, la part des attaques complexes a considérablement augmenté: 55% des événements ont été détectés à l'aide de défenses intellectuelles sophistiquées (en 2018, de tels incidents étaient de 28%). Les remèdes de base dans de telles situations sont impuissants. Ci-dessous, nous vous indiquerons les dangers auxquels les entreprises ont été confrontées au cours de l'année écoulée et à quoi s'attendre dans un proche avenir.

Un peu de méthodologie: comment et qu'est-ce que nous avons considéré


Toutes les statistiques présentées ici concernent nos clients, et ce sont plus de 100 organisations de différents secteurs: secteur public, finance, pétrole et gaz, énergie, télécommunications, commerce de détail. Toutes les entreprises représentent la grande entreprise et le segment des entreprises avec un nombre moyen d'employés de 1000 personnes et fournissent des services dans différentes régions du pays.

Notre première priorité est de fournir une protection, et donc d'identifier les actions de l'attaquant aux approches, avant de pénétrer dans l'infrastructure. Ceci, bien sûr, nous limite dans la détermination des objectifs de l'attaquant: gain direct, collecte d'informations sensibles, sécurisation de l'infrastructure pour la poursuite de la vente de ressources, hacktivisme ... Afin de faire une analyse équilibrée de ce qui se passe, nous avons utilisé une technique combinée qui s'appuie sur les caractéristiques de l'attaque.

Lors de la détection des incidents à un stade précoce (avant la fixation effective des attaquants et le développement d'une attaque dans l'infrastructure), nous avons pris en compte les techniques et méthodes d'attaque, la fonctionnalité du malware, l'attribution et les données sur le groupe de hackers, etc.

Parfois, nous avons détecté des attaques dans la phase de distribution de nouveaux clients connectés, dans ce cas, sur des hôtes compromis, nous avons pris en compte: leur répartition territoriale, leur fonctionnalité, la possibilité de réaliser l'un des objectifs ci-dessus, la dynamique et le vecteur de mouvement du cybercriminel.

Si, dans le cadre de l'enquête sur les incidents, les clients n'utilisant pas les services Solar JSOC ont détecté des attaques au stade final, les données réelles sur les dommages sont devenues le critère clé déterminant le vecteur d'attaque.

Nous avons exclu les soi-disant attaques simples des statistiques qui ne conduisent pas à de véritables incidents de sécurité de l'information: activité des botnets, analyse du réseau, exploitation infructueuse des vulnérabilités et devinettes des mots de passe.

Qu'avons-nous rencontré exactement en 2019?

Le contrôle coûte plus cher que l'argent


Le vol direct de fonds n'est plus à la mode. En 2019, le nombre de ces attaques a diminué de 15%, bien qu'avant cela, l'indicateur n'ait cessé de croître d'année en année. Cela indique notamment une augmentation du niveau de sécurité dans le domaine du crédit et des finances. La monétisation rapide et directe des attaques devient de plus en plus difficile et les cybercriminels se tournent vers des cibles plus abordables.

Le nombre d'attaques visant à prendre le contrôle de l'infrastructure a augmenté de 40%. Plus de 16% des attaques visaient des objets de KII, alors que leur objectif était le segment des systèmes de contrôle de processus automatisés ou des segments fermés. Cela est dû à leur faible niveau de cyber-hygiène et au mélange fréquent des réseaux d'entreprise et technologiques. Lors de la surveillance dans 95% des organisations, nous avons trouvé au moins deux points de mélange de segments ouverts et fermés.

La tendance est alarmante, car, pénétrant dans le périmètre, les attaquants peuvent examiner en détail les processus internes de l'entreprise. Il existe de nombreuses options, car ils utilisent davantage ces points de présence: de l'espionnage industriel à la vente d'accès sur le darknet ou le chantage direct.

Incidents externes


Types d'attaques externes










VPO d'une nouvelle manière


En choisissant des outils pour pirater l'infrastructure, les pirates sont prudents et préfèrent les logiciels malveillants qui sont livrés à la machine de l'utilisateur via des pièces jointes infectées ou des liens de phishing dans les e-mails. En 2019, cette méthode a été utilisée dans plus de 70% des cas.

En général, les attaques utilisant des logiciels malveillants augmentent régulièrement - de 11% au cours de la dernière année. Dans le même temps, le logiciel malveillant lui-même devient plus complexe: un cinquième des logiciels malveillants livrés à la machine de l'utilisateur avec des envois de phishing a des outils de contournement de bac à sable intégrés.

Tendances de développement VPO


  • ( ) RTM. «» (, , ) C&C-, TOR. , , RTM, , .
  • 2019 Troldesh, , . , -.
  • 2019 stealer – Pony, Loki Hawkeye. , VBInJect ( VBCrypt). , VBInJect, . , .
  • . DDE (Microsoft Dynamic Data Exchange), Microsoft , .
  • Microsoft Office CVE-2017-11882 CVE-2018-0802. , , .
  • . – , .
  • Emotet ( , ). WordPress , . : , (: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
  • 2019 Windows – BlueKeep DejaBlue, RDP. in the wild . Eternal Blue. 2018 , , .


Les attaques sur les applications Web affichent également une croissance régulière - leur part sur l'année a augmenté de 13%. La raison est simple - de plus en plus d'entreprises et d'organisations étatiques créent leurs propres portails Internet, mais ne prêtent pas suffisamment d'attention à la sécurité de ces ressources. En conséquence, chaque troisième site Web présente une vulnérabilité critique qui lui permet d'obtenir un accès privilégié au serveur (web-shell).

Mot de passe administrateur: quand la simplicité est pire que le vol


Des données d'authentification relativement simples pour les panneaux d'administration des ressources Web et les serveurs de terminaux RDP jouent également entre les mains des cybercriminels. Selon nos données, si vous utilisez un mot de passe administrateur faible et un accès ouvert à ces services depuis Internet, il faudra moins de 5 heures avant qu'ils ne soient infectés par des logiciels malveillants. Le plus souvent, ce sera un mineur, un ransomware ou un virus relativement simple, par exemple, Monero Miner, Miner Xmig, Watchbog, Dbg Bot ou Scarab.

Malheur à l'esprit


Les attaques DDoS démontrent un progrès technologique significatif. En 2019, les attaquants étaient 40% plus susceptibles d'utiliser des botnets IoT pour effectuer des DDoS. Comme vous le savez, les appareils IoT sont mal protégés et facilement piratés, ce qui rend les attaques DDoS moins chères et plus abordables. Compte tenu de l'augmentation constante du nombre de ces gadgets, nous serons peut-être confrontés dans un proche avenir à une nouvelle poussée de cette menace.

Dangers à l'intérieur


Malgré la multiplication des attaques externes, les incidents internes restent une menace sérieuse. Le nombre de fuites d'informations confidentielles continue de croître: elles représentent plus de la moitié des incidents internes, et dans les années à venir, cet indicateur est susceptible de croître. Mais en même temps, le nombre d'incidents liés à la violation de l'accès à Internet est considérablement réduit. Cela montre indirectement le développement de la technologie: de nombreux clients ont migré d'anciens pare-feu et serveurs proxy vers des systèmes plus avancés.

Types d'attaques internes









Sucrez la pilule


Il y a aussi des changements positifs: les entreprises ont commencé à faire plus d'efforts pour protéger le périmètre. Si en 2018 plus de 260 000 serveurs russes étaient vulnérables à EternalBlue, alors en 2019 leur nombre a diminué à 49,7 milliers. De plus, la dynamique de fermeture des vulnérabilités en Russie est nettement supérieure à la moyenne mondiale - les serveurs russes représentent moins de 5% des vulnérabilités en le monde. Bien qu'environ 40% des serveurs encore vulnérables appartiennent à de grandes sociétés commerciales ou gouvernementales.

More articles:


All Articles