Get best of the week

Cyber ​​visa 2019 como tendências 2020 - hackers mudaram o foco


Todos os anos, registramos um aumento no número de incidentes cibernéticos: os hackers criam novas ferramentas ou modificam as existentes. Como foi 2019? À primeira vista, não há surpresas: o volume de incidentes cresceu até 30% e chegou a mais de 1,1 milhão de casos. Mas se você se aprofundar, torna-se óbvio: na busca de dinheiro "fácil", os atacantes mudaram o foco para novos alvos. Em geral, houve mais ataques externos - sua participação aumentou para 58% (54% um ano antes). Ao mesmo tempo, a participação de ataques complexos aumentou significativamente: 55% dos eventos foram detectados usando defesas intelectuais sofisticadas (em 2018, esses incidentes foram de 28%). Os remédios básicos nessas situações são impotentes. Abaixo, mostraremos quais perigos as empresas enfrentaram no ano passado e o que esperar no futuro próximo.

Um pouco sobre metodologia: como e o que consideramos


Todas as estatísticas apresentadas aqui se relacionam com nossos clientes e são mais de 100 organizações de diferentes setores: setor público, finanças, petróleo e gás, energia, telecomunicações, varejo. Todas as empresas representam o grande grupo empresarial e empresarial, com um número médio de funcionários de 1.000 pessoas e prestam serviços em diferentes regiões do país.

Nossa primeira prioridade é fornecer proteção e, portanto, identificar as ações do atacante nas abordagens, antes de penetrar na infraestrutura. Isso, obviamente, nos limita a determinar os objetivos do atacante: ganho direto, coleta de informações confidenciais, segurança na infraestrutura para venda adicional de recursos, hacktivismo ... Para fazer uma análise equilibrada do que está acontecendo, usamos uma técnica combinada que depende das características do ataque.

Ao detectar incidentes em um estágio inicial (antes da correção real dos invasores e do desenvolvimento de um ataque na infraestrutura), levamos em conta as técnicas e métodos de ataque, a funcionalidade do malware, a atribuição e os dados sobre o grupo de hackers, etc.

Às vezes, detectamos ataques na fase de distribuição de novos clientes conectados, neste caso em hosts comprometidos, levamos em consideração: sua distribuição territorial, funcionalidade, a possibilidade de realizar um dos objetivos acima, a dinâmica e o vetor de movimento do cibercriminoso.

Se, como parte da investigação de incidentes, os clientes que não usam os serviços Solar JSOC detectaram ataques no estágio final, os dados reais de danos se tornaram o critério principal para determinar o vetor de ataque.

Das estatísticas, excluímos os chamados ataques simples que não levam a incidentes reais de segurança da informação: atividade de botnet, varredura de rede, exploração malsucedida de vulnerabilidades e adivinhação de senha.

O que exatamente encontramos em 2019?

Controle é mais caro que dinheiro


O roubo direto de fundos não está mais em tendência. Em 2019, o número de ataques desse tipo diminuiu 15%, embora antes disso, o indicador tenha crescido constantemente de ano para ano. Além disso, isso indica um aumento no nível de segurança na esfera financeira e de crédito. A monetização de ataques rápidos e diretos está se tornando cada vez mais difícil, e os cibercriminosos estão migrando para alvos mais acessíveis.

O número de ataques destinados a ganhar controle sobre a infraestrutura aumentou em 40%. Mais de 16% dos ataques visavam objetos de KII, enquanto o objetivo era o segmento de sistemas de controle de processo automatizado ou segmentos fechados. Isso se deve ao baixo nível de cibernética e à mistura frequente de redes corporativas e tecnológicas. Durante o monitoramento em 95% das organizações, encontramos pelo menos dois pontos de mistura de segmentos abertos e fechados.

A tendência é alarmante, porque, penetrando o perímetro, os atacantes podem examinar em detalhes os processos internos da empresa. Existem muitas opções, pois eles usam ainda mais esses pontos de presença: da espionagem industrial à venda de acesso na darknet ou chantagem direta.

Incidentes externos


Tipos de ataques externos










VPO de uma nova maneira


Na escolha de ferramentas para a infraestrutura de hackers, os hackers são conservadores e preferem malware que é entregue à máquina do usuário por meio de anexos infectados ou links de phishing em e-mails. Em 2019, esse método foi utilizado em mais de 70% dos casos.

Em geral, os ataques usando malware estão crescendo constantemente - 11% no ano passado. Ao mesmo tempo, o próprio software malicioso se torna mais complexo: cada quinto malware entregue à máquina do usuário com correspondências de phishing possui ferramentas de desvio de sandbox integradas.

Tendências de desenvolvimento de VPO


  • ( ) RTM. «» (, , ) C&C-, TOR. , , RTM, , .
  • 2019 Troldesh, , . , -.
  • 2019 stealer – Pony, Loki Hawkeye. , VBInJect ( VBCrypt). , VBInJect, . , .
  • . DDE (Microsoft Dynamic Data Exchange), Microsoft , .
  • Microsoft Office CVE-2017-11882 CVE-2018-0802. , , .
  • . – , .
  • Emotet ( , ). WordPress , . : , (: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
  • 2019 Windows – BlueKeep DejaBlue, RDP. in the wild . Eternal Blue. 2018 , , .


Os ataques a aplicativos da web também mostram crescimento constante - sua participação ao longo do ano aumentou 13%. O motivo é simples: mais e mais empresas e organizações estatais iniciam seus próprios portais de Internet, mas não prestam atenção suficiente à segurança de tais recursos. Como resultado, todos os terceiros sites têm uma vulnerabilidade crítica que permite obter acesso privilegiado ao servidor (shell da web).

Senha do administrador: quando a simplicidade é pior que o roubo


Credenciais de autenticação relativamente simples para os painéis de administração de recursos da Web e servidores de terminal RDP também estão nas mãos dos cibercriminosos. De acordo com nossos dados, se você usar uma senha de administrador fraca e abrir o acesso a esses serviços pela Internet, levará menos de 5 horas antes de serem infectados por malware. Na maioria das vezes, será um mineiro, ransomware ou um vírus relativamente simples, por exemplo, Monero Miner, Miner Xmig, Watchbog, Dbg Bot ou Scarab.

Ai da mente


Os ataques DDoS demonstram progresso tecnológico significativo. Em 2019, os invasores tiveram 40% mais chances de usar botnets da IoT para realizar DDoS. Como você sabe, os dispositivos IoT são mal protegidos e facilmente rachados, tornando os ataques DDoS mais baratos e mais acessíveis. Dado o constante aumento no número de tais dispositivos, talvez em um futuro próximo enfrentaremos uma nova onda nessa ameaça.

Perigos dentro


Apesar do crescimento de ataques externos, os incidentes internos continuam sendo uma ameaça séria. O número de vazamentos de informações confidenciais continua a crescer: eles representam mais da metade dos incidentes internos e, nos próximos anos, é provável que esse indicador aumente. Mas, ao mesmo tempo, o número de incidentes relacionados à violação do acesso à Internet é reduzido significativamente. Isso mostra indiretamente o desenvolvimento da tecnologia: muitos clientes migraram de firewalls e proxies antigos para sistemas mais avançados.

Tipos de ataques internos









Adoce a pílula


Há também mudanças positivas: as empresas começaram a se esforçar mais para proteger o perímetro. Se em 2018 mais de 260 mil servidores russos estavam vulneráveis ​​ao EternalBlue, em 2019, seu número diminuiu para 49,7 mil. Além disso, a dinâmica de fechamento de vulnerabilidades na Rússia é significativamente maior que a média mundial - os servidores russos representam menos de 5% dos vulneráveis ​​em o mundo. Embora aproximadamente 40% dos servidores ainda vulneráveis ​​sejam de propriedade de grandes empresas comerciais ou governamentais.

More articles:


All Articles