FortiGuard Labs: киберпреступники очень активно используют возможности, возникшие вследствие глобальной пандемии

Злоумышленники фокусируют усилия на удаленных сотрудниках, желая получить доступ к корпоративным сетям и критическим данным

Москва - 2 сентября 2020


Компания Fortinet, мировой лидер в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности, представляет выводы свежего исследования FortiGuard Labs Global Threat Landscape Report, публикующегося каждые полгода.

«Первые шесть месяцев 2020 года стали ознаменовались формированием беспрецедентного ландшафта киберугроз. Драматический масштаб и стремительная эволюция методов атаки демонстрируют оперативность противников в изменении своих стратегий с целью максимизации выгоды от текущих событий: усилия сосредоточены вокруг последствий пандемии COVID-19 по всему миру. Никогда еще не существовало такой четкой картины, как сейчас, демонстрирующей почему организациям необходимо корректировать свои оборонные стратегии в будущем, чтобы в полной мере учитывать периметр сети, распространившийся на дома сотрудников. Для организаций очень важно принять меры по защите своих удаленных работников и помочь им обезопасить свои устройства и домашние сети на длительный период. Мудро было бы рассмотреть возможность принятия такой же стратегии, как та, что мы используем в реальном мире, в отношении и кибервирусов. Киберсоциальное дистанцирование – это в первую очередь осознание рисков и сохранение безопасного расстояния» – Дерек Мэнки, руководитель отдела безопасности и глобальных угроз, FortiGuard Labs.

  • Анализ угроз, проведенный лабораторией FortiGuard Labs в первой половине 2020 года, демонстрирует драматические масштабы, в которых киберпреступники и субъекты национальных государств использовали глобальную пандемию как возможность для осуществления различных кибератак по всему миру. Приспосабливаемость противников позволила создать волны атак, нацеленных на страх и неопределенность, обусловленными текущими событиями. Кроме того, внезапный рост количества удаленных сотрудников вне корпоративной сети, в одночасье расширил поверхность цифровых атак.
  • Хотя многие важные тренды ландшафта киберугроз были связаны с пандемией, некоторые из них развивались благодаря собственным движущим силам. Например, вирусы-вымогатели, направленные на устройства Internet-of-Things (IoT), а также операционные технологии (OT), не ослабевают, а наоборот, развиваются, становясь более целенаправленными и изощренными.
  • На глобальном уровне большинство угроз прослеживается во всем мире и в различных отраслях промышленности, с некоторыми региональными или вертикальными вариациями. Подобно пандемии COVID-19, определенная угроза могла появиться в одной области, но в конечном итоге распространиться почти везде, что означает, что большинство организаций могут рано или поздно с ней столкнуться. Конечно, существуют региональные различия в показателях инфицированности, основанные на таких факторах, как политики, практики или методы реагирования.
  • Читайте блог, чтобы подробнее ознакомиться с исследование и его важными заключениями. Ключевые выводы исслдования следуют далее.

Использование возможностей, открывающихся в следсвтие глобальных событий. Злоумышленники и раньше использовали новостную повестку как приманку для социальной инженерии, но в первой половине 2020 года это перешло на следующий уровень. От фишеров-опортунистов до интригующих субъектов национального государства - киберпротивники нашли множество способов использовать глобальную пандемию в своих интересах в огромных масштабах. К ним относятся схемы фишинга и компрометации деловой почты, кампании, поддерживаемые на государственном уровне и атаки с целью получения выкупа. Они работали над тем, чтобы максимизировать глобальный характер пандемии, поразившей всех в мире, в сочетании с немедленным расширением площади цифровых атак. Эти тенденции были замечены в других новостях и продемонстрировали, как быстро злоумышленники могут воспользоваться основными событиями с широким социальным влиянием на глобальном уровне.

Периметр становится более личным. Увеличение количества удаленных рабочих мест обусловило драматическое изменение корпоративных сетей почти в одночасье, и киберпреступники сразу же начали использовать эти события как возможность. В первой половине 2020 года попытки эксплойтов против нескольких маршрутизаторов потребительского класса и устройств IoT были на первом месте по обнаружению IPS. Кроме того, Mirai и Gh0st доминировали в наиболее распространенных детекторах бот-сетей, что было вызвано очевидным ростом интереса злоумышленников к старым и новым уязвимостям в продуктах IoT. Эти тенденции примечательны тем, что они демонстрируют, как периметр сети распространился на дом, где злоумышленники пытаются закрепиться в корпоративных сетях, используя устройства, которые удаленные сотрудники могут использовать для подключения к сетям своих организаций.

Браузеры – тоже под прицелом. Для злоумышленников переход к удаленной работе стал беспрецедентной возможностью атаковать ничего не подозревающих людей разными способами. Например, вредоносное веб-ПО, используемое в фишинговых кампаниях и других видах мошенничества, превзошло более традиционную электронную почту в качестве пути доставки вредоносов. Фактически, семейство вредоносных программ, которое включает в себя все варианты веб-фишинговых приманок и мошенничества, занимало первое место среди всех вредоносов в январе и феврале и выпало из первой пятерки только в июне. Это может свидетельствовать о стараниях киберпреступников осуществлять свои атаки в момент, когда люди наиболее уязвимы и легковерны – во время серфинга по сети дома. Веб-браузеры, а не только устройства, также являются основными целями для киберпреступников, возможно, в большей степени, чем обычно, поскольку злоумышленники продолжают атаковать удаленных сотрудников.

Вымогатели никуда не исчезли. Хорошо известные угрозы, такие как вредоносы, нацеленные на получение выкупа, не стали менее заметными в течение последних шести месяцев. Тематические сообщения и вложения по теме COVID-19 использовались в качестве приманки в различных кампаниях по выкупу. Другие вымогатели были обнаружены при перезаписи главной загрузочной записи компьютера (MBR) перед шифрованием данных. Кроме того, участились случаи, когда злоумышленники не только блокировали данные организации-жертвы, но и, в качестве дополнительного рычага воздействия, крали их, затем угрожая обнародованием. Эта тенденция значительно увеличивает риск того, что организации потеряют бесценную информацию или другие конфиденциальные данные в будущих атаках с применением вымогателей. Ни одна отрасль во всем мире не избежала подобных атак, и данные показывают, что пятью направлениями, в наибольшей степени подверженными атакам с целью получения выкупа, являются телекоммуникации, Интернет-провайдеры, образовательные учреждения, правительственные и технологические организации. К сожалению, рост числа таких вредоносов, продаваемых в качестве услуги (RaaS), и эволюция определенных вариантов указывает на то, что ситуация с вымогателями не становится менее острой.

ОТ-угрозы после Stuxnet. В июне исполнилось 10 лет со дня появления Stuxnet, который сыграл важную роль в эволюции угроз для операционных технологий и в обеспечении их безопасности. Сейчас, много лет спустя, сети OT остаются мишенью для преступников. Вирус-вымогатель EKANS, выпущенный в начале этого года, показывает, как злоумышленники продолжают расширять фокус атак с целью получения выкупа и на  OT-среды. Кроме того, шпионский фреймворк Ramsay, предназначенный для сбора и эксфильтрации конфиденциальных файлов в сетях с воздушной ловушкой или сетях с ограниченным доступом, является примером того, как злоумышленники ищут новые способы проникновения в такие типы сетей. Распространенность угроз, направленных на системы диспетчерского контроля и сбора данных (SCADA) и другие типы промышленных систем контроля (ICS), меньше по объему, чем те, которые затрагивают IT-сети, но это не уменьшает важности данного тренда.

Сопоставление трендов вредоносов. Обзор списка CVE показывает, что количество опубликованных уязвимостей увеличилось за последние несколько лет, что вызвало дискуссию о приоритезации исправлений. Несмотря на то, что 2020 год, по всей видимости, приближается к рекорду по количеству опубликованных уязвимостей за один год, однако уязвимости этого года также имеют самый низкий уровень распространенности использования, когда-либо зарегистрированный за 20-летнюю историю списка CVE. Между тем, уязвимости 2018 года продемострировали распространенности использования – 65% – более четверти организаций зарегистрировали попытки использования 15-летних CVE. Масштабная разработка и распространение эксплойтов с помощью законных и вредоносных хакерских инструментов по-прежнему отнимают значительное время у преступников.

Необходимо срочно обезопасить периметр сети, распространившийся на дома сотрудников

С ростом количества подключений, устройств и постоянной потребности в удаленной работе расширяется поверхность цифровых атак. В связи с распространением периметра корпоративной сети на дом злоумышленники ищут самое слабое звено и новые возможности для атак. Организациям необходимо готовиться, предпринимая конкретные шаги для защиты своих пользователей, устройств и информации таким же образом, как и в корпоративной сети. Компании, занимающиеся анализом угроз и исследованиями в данной сфере, могут помочь в этом, предоставив широкую экспертизу в специфике угроз по мере их развития, а также проведя углубленный анализ методов атак, их участников и новых тактик, что позволит дополнить знания организаций. Потребность в безопасных решениях для удаленных сотрудников, обеспечивающих безопасный доступ к критически важным ресурсам при одновременном масштабировании для удовлетворения потребностей всего персонала, никогда еще не была столь велика. Только платформа кибербезопасности, разработанная для обеспечения комплексной видимости и защиты всей поверхности цифровых атак, включая сети, приложения, многооблачные или мобильные среды, способна обеспечить безопасность современных быстро развивающихся сетей.

Об исследовании

Последний глобальный Threat Landscape Report представляет собой обзор, основанный на обобщенных данных FortiGuard Labs, собранных при помощи обширных ресурсов для обнаружения угроз Fortinet, аккумулирующих миллиарды угроз, которые наблюдались во всем мире в первой половине 2020 года. Он охватывает глобальные и региональные аспекты, а также исследование трех центральных и дополнительных аспектов ландшафта киберугроз: эксплойтов, вредоносные программ и бот-сетей.

Дополнительно

  • Ознакомьтесь с ценными выводами исследования в блоге или ознакомьтесь с его полной версией.
  • Читайте о том, как решения для удаленной работы Fortinet обеспечивают безопасный удаленный доступ в масштабе всей компании для поддержки сотрудников с самыми разными требованиями к доступу.
  • Узнайте больше о FortiGuard Labs, подписках FortiGuard Security и портфолио FortiGuard Security Services.
  • Узнайте, как платформа Fortinet Security Fabric обеспечивает широкую, интегрированную и автоматизированную защиту всей цифровой инфраструктуры организации.
  • Узнайте об инициативе Fortinet, направленной на обучение в области кибербезопасности или о Network Security Expert, Network Security Academy и FortiVets компании Fortinet.
  • Участвуйте в нашем сообществе пользователей Fortinet (Fuse). Делитесь идеями и отзывами, узнавайте больше о наших продуктах и технологиях или общайтесь с коллегами.
  • Следите за новостями Fortinet в Twitter, LinkedIn, Facebook, YouTube и Instagram.

О FortiGuard Labs

FortiGuard Labs – это глобальная организация, занимающаяся разведкой и исследованием угроз в структуре Fortinet. Ее миссия – предоставлять клиентам Fortinet лучшие в индустрии данные об угрозах, с целью их защиты от вредоносной активности и сложных угроз. В состав команды входят ведущие охотники за киберугрозами, исследователи, аналитики, инженеры и специалисты по сбору данных, работающие в специализированных лабораториях по изучению угроз по всему миру. FortiGuard Labs постоянно отслеживает глобальную поверхность атак, используя миллионы сетевых датчиков и сотни партнеров по обмену данными. Лаборатория анализирует и обрабатывает эти массивы данных с использованием искусственного интеллекта (ИИ) и других инновационных технологий для извлечения ценной информации для поиска новых угроз. Результатом этих усилий является своевременное получение оперативных данных об угрозах и их применение в виде обновлений продуктов безопасности Fortinet и проактивном исследовании киберугроз. Все это помогает нашим клиентам лучше понять специфику и состав акторов угроз, а также, путем предоставления специализированных консультационных услуг, позволяет нам содействовать нашим клиентам в выявлении вредоносной активности и усилении ресурсов обеспечения безопасности. Узнайте больше на сайте http://www.fortinet.com, в блоге Fortinet или на FortiGuard Labs.

Подробнее о Fortinet

Компания Fortinet обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предоставляет клиентам полную видимость и контроль над расширяющейся поверхностью атак, а также возможность соответствовать растущим требованиям к производительности, как в настоящий момент, так и в будущем. Только платформа Fortinet Security Fabric способна решать самые важные задачи по обеспечению безопасности и защищать данные во всей цифровой инфраструктуре – будь то сетевая, многооблачная, пограничная среда или бизнес-приложения. Компания Fortinet занимает 1-е место по количеству проданных устройств для обеспечения безопасности и защищает более 465 000 клиентов по всему миру. Институт сетевой безопасности Fortinet, являющийся как технологической, так и обучающей компанией, имеет одну из самых крупных и широких учебных программ по кибербезопасности в отрасли. Подробнее см. на сайте https://www.fortinet.com/ru, в блогах Fortinet Blog или FortiGuard Labs.

Copyright © 2020 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.