Число критических уязвимостей быстро растет

Корпорация IBM опубликовала «Отчет о тенденциях и рисках информационной безопасности по итогам первого полугодия 2011 года», подготовленный группой исследований и разработок в области информационной защиты IBM X-Force. Результаты исследования свидетельствуют о быстром изменении общей ситуации с информационной безопасностью, которая характеризуется хорошо спланированными, мощными и широкомасштабными атаками, растущим числом уязвимостей защиты мобильных устройств и более изощренными угрозами, такими, например, как «вейлинг».

Стремясь помочь клиентам в борьбе с этими и другими угрозами безопасности, IBM открывает Институт передовых технологий безопасности (Institute for Advanced Security) в Азиатско-тихоокеанском регионе, который присоединяется к уже действующим подобным центрам IBM в Северной Америке и Европе.

Группа X-Force сообщает, что процентная доля критических уязвимостей утроилась за период с начала 2011 года до настоящего времени. X-Force объявила 2011 г. «годом брешей в системах безопасности» ("Year of the Security Breach") из-за большого числа массированных широкомасштабных атак и «громких» случаев компрометации сетей, которые произошли в этом году.

Группа перечислила ряд авторов и источников наиболее примечательных новых угроз безопасности этого года. Среди них команды профессиональных организаторов атак, которыми движет стремление собирать ценную стратегическую информацию, и которые способны получать и сохранять несанкционированный доступ к критически важным сетям посредством комбинации разнообразных хитростей и уловок, сложных технических возможностей и тщательного планирования. Такие хакерские группы и типы атак, которые они используют, часто называют Advanced Persistent Threats (APTs). (Этот термин, который можно перевести как «постоянные угрозы повышенной сложности», пока не имеет четкого общепринятого определения и, в действительности, характеризует новое развивающееся направление атак особой организованности и изощренности).

Успехи APT привели к распространению «вейлинга», разновидности фишинговой атаки, осуществляемой по методу "spear phishing" (когда злоумышленник обманом заставляет пользователей раскрывать свой пароли). Вейлинг (от англ. "whaling" – охота на китов) отличается от типичного фишинга одной особенностью – он нацелен на «китов», т.е., как правило, на высшее звено руководителей компаний и организаций, имеющих доступ к критически важным данным. Эти целевые (адресные) атаки часто запускаются после тщательного изучения онлайновых профилей VIP-персоны, дающих в руки злоумышленников необходимую информацию для создания убедительных фишинговых электронных писем, которые должны обмануть жертву.

Так называемые "hacktivist"-группы (этот термин состоит из комбинации слов «хакер» и «активист», т.е. деятельный член какой-либо организации), чьи атаки направлены на веб-сайты и компьютерные сети и имеют целью политические мотивы, а не только финансовую выгоду. Hacktivist-группы добились определенного успеха в использовании известных, стандартных типов атак подобно «SQL-инъекциям» (SQL Injection; модифицирование кода SQL-запросов к базам данных, с которыми взаимодействует легитимный сайт) – одного из наиболее распространенных методов атак в Интернете.

Анонимные прокси-серверы, число которых увеличилось за последние три года более чем в четыре раза. Необходимость отслеживания Web-сайтов анонимных прокси чрезвычайно важна, поскольку они позволяют людям скрывать потенциально зловредные намерения.

«Неожиданная вспышка «громких» широкомасштабных атак в этом году ярко демонстрирует проблемы, с которыми часто сталкиваются организации, реализующие свои стратегии безопасности, — подчеркнул Том Кросс (Tom Cross), руководитель отдела Threat Intelligence and Strategy в IBM X-Force. — Несмотря на то, что мы понимаем, как защититься от многих из таких нападений с технической точки зрения, организации далеко не всегда имеют и применяют у себя действенную межкорпоративную практику информационной защиты».

Отчет сообщает, что число уязвимостей защиты мобильных устройств уверенно удваивается.

Широкое распространение в компаниях и организациях мобильных устройств, таких как смартфоны и планшетные компьютеры, поднимает новые проблемы безопасности. Способствует этому и популярный ныне подход "Bring Your Own Device" («приноси и пользуйся своим собственным устройством»), который позволяет сотрудникам использовать личные устройства для доступа к корпоративной сети. Группа IBM X-Force зафиксировала устойчивый рост выявленных уязвимостей систем безопасности таких устройств. Исследователи X-Force рекомендуют ИТ-специалистам применять специальное антивирусное (anti-malware) программное обеспечение и утилиты для управления внесением исправлений в программный код (patch management), которые разработаны для платформ мобильных устройств, используемых на предприятии. Среди других важных результатов и выводов отчета, связанных с «мобильными» уязвимостями:

X-Force прогнозирует, что число появившихся в 2010 году уязвимостей защиты мобильных устройств удвоится к концу 2011 года. В отчете подчеркивается, что многие поставщики мобильных телефонов не спешат выпускать обновления программного обеспечения своих устройств, устраняющие бреши в системах безопасности.

Вредоносные программы, ориентированные на мобильные устройства, часто распространяются через рынки приложений третьих фирм и индивидуальных разработчиков. Мобильные телефоны становятся все более привлекательной платформой для создателей вредоносного ПО, поскольку глобальная база пользователей этих устройств растет стремительными темпами, и существует простой способ извлечения незаконной финансовой выгоды из целевой атаки или инфицирования мобильного телефона вредоносным кодом. Распространители вредоносных программ могут, например, создавать сервисы отправки SMS-сообщений, которые берут плату с пользователей, посылающих текстовые сообщения на определенный номер. Вредоносная программа, внедренная в инфицированные телефоны, автоматически отправляет SMS на эти специальные платные номера.

Некоторые вредоносные программы для мобильных устройств разрабатываются для сбора персональной информации о пользователях этих устройств. Эта информация может быть затем использована в фишинговых атаках или для кражи личных данных. Вредоносные программы для мобильных устройств часто применяются для скрытого наблюдения за личными и деловыми контактами жертвы, а также для отслеживания физических перемещений пользователя инфицированного мобильного телефона с помощью встроенного GPS-модуля.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

NETSCOUT: в 2020 году DDoS-активность достигла рекордных высот

В прошлом году специалисты по сетевой безопасности из компании NETSCOUT Systems зафиксировали рекордное количество DDoS-атак — 10 089 687. Больше трети из них (3,75 млн) были проведены на территории стран EMEA.

Команда ASERT (ATLAS Security Engineering & Response Team) из NETSCOUT публикует свою статистику по интернет-угрозам по итогам каждого полугодия. За основу берутся данные, предоставленные партнерами компании, использующими ее информационно-аналитическую платформу ATLAS. В настоящее время к ATLAS подключено более 300 организаций по всему миру, включая интернет-провайдеров разного уровня, что позволяет экспертам мониторить около трети трафика в глобальной Сети.

Представляя новые результаты анализа DDoS-активности, специалисты отметили, что она существенно возросла во второй половине 2020 года — на 22% в сравнении с первым полугодием. Росту показателя в большой мере способствовало нездоровое оживление в стане вымогателей, прибегающих к демонстрации силы в виде DDoS-атаки в надежде получить выкуп.

За год количество жалоб на вымогательство под угрозой DDoS, по оценке ASERT, увеличилось на 125%. При этом 83% жертв отметили такие последствия показательных атак, как перегрузки на файрволах и VPN-концентраторах — критически важных элементах инфраструктуры в условиях карантина по ковиду.

Пик DDoS-вымогательства пришелся на середину августа, когда на авансцену вышла группировка, которую в ASERT условно именуют Lazarus Bear Armada (LBA). Проведя серию мультивекторных DDoS-атак мощностью от 50 до 450 Гбит/с, шантажисты эффективно вывели из строя веб-ресурсы неплательщиков — новозеландской фондовой биржи и компаний, вовлеченных в разработку и тестирование вакцин от COVID-19.

В целом в разделении по вертикалям от DDoS-атак больше прочих страдали провайдеры услуг связи. В ТОП-5 мишеней вошли также платформы для публикаций в интернете и широкого вещания — такие как Netflix и Zoom, а также интернет-магазины и сервисы доставки.

 

В минувшем году дидосеры также поставили рекорд по частоте атак. Ежемесячная норма таких инцидентов в марте взлетела до 800 тыс. и держалась на этом уровне до конца года, превышая прежние показатели в среднем на 130 тысяч.

Наиболее мощная DDoS-атака на пике показала 1,12 Тбит/с. Максимальная скорость передачи пакетов (другой важный показатель плотности мусорного потока), зафиксированная экспертами, оказалась довольно высокой — 537 Mpps. Средняя продолжительность атак составила около 40 минут.

Из техник DDoS злоумышленники наиболее часто использовали отражение и усиление трафика с помощью DNS. Второе место в этом рейтинге занял TCP ACK flood, третье — нестареющий SYN flood. Исследователи также не преминули отметить появление новых посредников в атаках, проводимых по методу отражения / усиления потока, — сервисы RDP, PMSSDP (Plex Media SSDP) и DTLS.

 

Многовекторные DDoS сохранили свою актуальность. Более того, количество техник, используемых в рамках одной атаки, в 2020 году резко увеличилось — до рекордных 26.

В качестве плацдарма для проведения DDoS-атак злоумышленники зачастую использовали ботнеты, построенные на основе вариантов Mirai. Теневые бизнесмены обычно сдают такие инструменты в аренду, постоянно наращивая их потенциал за счет уязвимых к брутфорсу IoT-устройств.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru