Майнеры пришли на смену шифровальщикам

Майнеры пришли на смену шифровальщикам

Майнеры пришли на смену шифровальщикам

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, опубликовала сводный отчет Solar JSOC Security flash report за второе полугодие 2017 г.

Во второй половине 2017 года средний поток событий ИБ составил 8,243 миллиардов событий (в первом полугодии – 6,156 миллиардов). Из них около 1 270 в сутки – события с подозрением на инцидент (231 623 за полгода). Это примерно на 28% больше, чем в первом полугодии 2016 года. Примерно каждый шестой инцидент был классифицирован как критичный – то есть потенциально ведущий к финансовым потерям на сумму свыше 1 млн руб., компрометации конфиденциальной информации или остановке критичных бизнес-систем. С каждым годом доля критичных инцидентов неуклонно растет. Если в первом полугодии 2015 года этот показатель составлял 8,1%, то во втором полугодии 2017 – уже 15,5%.

Число атак на компании с 2014 года увеличилось в среднем на 26%. Во второй половине 2017 года большая часть всех инцидентов (86,7%) происходила днем, однако, если говорить о критичных внешних инцидентах, то в 58,7% случаев они происходили ночью. Это самый высокий показатель за последние четыре года.

Отдельно в отчете рассматриваются инциденты, составляющие Kill Chain – цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. Во второй половине 2017 года первым этапом сложной атаки чаще всего служила социальная инженерия (65% против 54% в первом полугодии 2017). Пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам, тем самым скачивая вредоносное ПО, которое служило целям киберпреступников.

Исследователи отдельно отмечают резкое распространение программного обеспечения для майнинга криптовалют наряду со столь же заметным сокращением инцидентов, связанных с вирусами-шифровальщиками. Количество последних снизилось примерно на треть. Среди возможных причин приводятся сокращение числа массовых атак, а также смещение фокуса злоумышленников с деструктивного влияния на информационные системы организаций в сторону более прямой монетизации атак (например, с использованием тех же майнеров).

«Любопытно, что в отношении майнингового ПО заметна определенная отраслевая специфика заражений. Так, в банках майнеры чаще всего обнаруживаются на рабочих станциях, куда они доставляются в рамках пакетов вредоносного ПО через почту или зараженные сайты. За пределами финансового сектора ситуация обстоит иначе: в среднем в каждой третьей организации мы фиксируем инциденты, когда майнеры на серверном оборудовании компании устанавливают непосредственно сотрудники ИТ-департамента», – сообщил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC.

В целом внешние злоумышленники чаще всего атакуют веб-приложения организаций (32,3%), в 22,8% они прибегают к brute-force и компрометации учетных данных внешних сервисов клиента, еще в 22,1% случаев – пытаются внедрить в организацию вредоносное ПО.

Инциденты, связанные с действиями внутренних злоумышленников, распределились следующим образом: утечки конфиденциальных данных – 48,2%, компрометация внутренних учетных записей – 22,6%, нарушение политик доступа в интернет – 8,2%.

Во второй половине 2017 года существенно (с 25,6% до 31,3%) возросло количество инцидентов, виновниками которых были ИТ-администраторы компаний. Сюда относятся и утечки конфиденциальной информации, и несоблюдение политик информационной безопасности ИТ-подразделением, что зачастую вызвано слабым контролем над ним или умением ИТ-специалистов обходить технические средства защиты.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru