Риск заражения корпоративных сетей вырос на 17%

Риск заражения корпоративных сетей вырос на 17%

Риск заражения корпоративных сетей вырос на 17%

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%.

На основе данных, полученных с помощью ThreatCloud World Cyber Threat Map, в декабре  2015 года Check Point зарегистрировал более 1500 различных видов вредоносного ПО, в то время как в ноябре было обнаружено 1200 видов. Этот тренд свидетельствует о повышении уровня угроз, с которыми сталкиваются организации в процессе защиты своих сетей.

Как и ранее, Confickerостается наиболее распространенным видом вредоносного ПО. С использованием Conficker было совершено до 25% атак — значительно больше, чем с помощью вредоносной программы Sality, которая использовалась в 9% атак и находится на втором месте. Conficker и оказавшийся на третьем месте Necurs  отключают службы безопасности, чтобы создать еще больше уязвимостей в сети, которые позволяют использовать скомпрометированные машины для DDoS и спам-атак.

60% атак по всему миру совершались с использованием 10 наиболее распространенных видов вредоносного ПО. Топ-3 вида вредоносов включают:

  1. Conficker  — используется в 25% всех зарегистрированных атак. Машины, зараженные Conficker, управляются ботом.  Conficker также отключает службы безопасности, оставляя компьютеры еще более уязвимыми к воздействию других вирусов.
  2. Sality— позволяет своему оператору осуществлять удаленные действия и загрузки других вредоносных программ в зараженные системы. Главная цель Sality — как можно дольше оставаться в системе, предоставляя возможности удаленного контроля и установки других вирусов.
  3. Necurs — используется в качестве бэкдора для последующего скачивания вредоносного ПО на зараженный компьютер и отключения служб безопасности, для обхода системы обнаружения угроз.

Первое место в рейтинге наиболее атакуемых стран в декабре 2015 года заняла Намибия. Страны с самым низким уровнем атак — это Уругвай, Монако и Латвия. Россия находится на 56 месте, сохранив эту позицию с ноября 2015 года. Как и во всем мире, в России наиболее распространенными вредоносными программами стали Conficker и Necurs.Кроме этого также часто встречались:

  • Delf — троян, осуществляющий переадресацию веб-трафика, манипуляции с некоторыми приложениями Windowsили сторонними приложениями, загрузку, установку и запуск дополнительных вредоносных программ.
  • Kometaur — связывается с удаленным сервером и отправляет информацию о системе, выбранной в качестве цели.
  • Xinyin — вредоносное ПО для мобильных платформ, которое способно незаметно устанавливать и удалять приложения, отправлять СМС-сообщения, отслеживать количество входящих и исходящих вызовов, а также число принятых и отправленных СМС, показывать рекламные уведомления и самостоятельно загружать обновления.

Исследователи CheckPoint также выявили топ мобильных вредоносов за декабрь 2015. И вновь атаки на Android-платформы встречались гораздо чаще, чем на iOS. Топ-3 вида мобильного вредоносного ПО:

  1. Xinyin
  2. AndroRAT — вредоносное программное обеспечение, которое способно включать себя в состав легитимного мобильного приложения и устанавливаться без ведома пользователя, предоставляя хакеру полный удаленный доступ к устройству на базе Android.
  3. Ztorg — троян, использующий root-полномочия для скачивания и установки приложений на мобильный телефон без ведома пользователя.

«Повышение активности вредоносных программ в декабре свидетельствует о серьезной степени угрозы для корпоративных сетей и ценных данных, — говорит Василий Дягилев, глава представительства CheckPoint в России и СНГ. — Организации должны поставить вопрос кибербезопасности на первый пункт своей повестки на 2016 год. Киберпреступники постоянно находят новые способы атак, потому компаниям необходимо быть столь же упорными и решительными в защите своих сетей». 

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%." />

Один хакер, ИИ и 72 часа: злоумышленник взломал крупную AWS-инфраструктуру

Одинокий киберпреступник с помощью ИИ провернул атаку на крупную среду Amazon Web Services и смог выжать из жертвы деньги. Об этом рассказала компания Sygnia, которая занимается реагированием на киберинциденты. Главная деталь здесь не в том, что атаковали облако.

Интереснее другое: по оценке Sygnia, один финансово мотивированный злоумышленник сделал за трое суток объём работы, который обычно занял бы недели.

ИИ помог ему ускорить разведку, разработку скриптов, подбор команд и адаптацию под конкретную инфраструктуру жертвы.

Атака не строилась на одной волшебной дыре. Хакер последовательно сцепил слабые места в приложениях, AWS-ресурсах, репозиториях исходного кода, CI/CD-пайплайнах, рантайм-компонентах и хранилищах данных.

В ход пошли поиск учётных данных, сбор секретов, перечисление облачных ресурсов, злоупотребление пайплайнами деплоя, изменение рантайм-среды, доступ к базам данных и эксфильтрация данных.

Первичный доступ злоумышленник получил через ключ доступа AWS, добытый при помощи уязвимости в приложении. Дальше ключ прогонялся через несколько рабочих сценариев: украсть максимум секретов, создать бэкдоры, расширить доступ и собрать данные для давления на компанию. Каждый новый доступ тут же снова отправлялся в этот же конвейер.

Чтобы показать серьёзность намерений, атакующий выполнял в основном обратимые действия: закрывал доступ к S3-бакетам, снижал ёмкость ECS-сервисов до нуля, создавал правила ACL для блокировки сетевого доступа и очищал очереди SQS. То есть демонстрировал: «Я уже внутри, могу ломать сильнее, если не договоримся».

Sygnia подчёркивает: для защиты не так важно, была ли конкретная команда написана человеком или ИИ. Важно другое — скорость. Если атакующий с LLM может за минуты пройти путь, на который раньше уходили часы, ручной разбор SIEM-алертов уже выглядит как попытка тушить пожар чайной ложкой.

Вывод для компаний напрашивается следующий: облако нужно защищать быстрее. Нужны нормальная видимость активов и учёток, жёсткий контроль секретов, защита CI/CD, готовые сценарии изоляции и автоматизированное реагирование. Потому что в эпоху ИИ один человек может атаковать как маленькая команда.

RSS: Новости на портале Anti-Malware.ru