С начала года число высококритичных атак уже выросло более чем в три раза

С начала года число высококритичных атак уже выросло более чем в три раза

С начала года число высококритичных атак уже выросло более чем в три раза

По данным экспертов ГК «Солар», за январь и неполный февраль 2024 года доля атак высокой критичности уже выросла более чем в три раза – с 2% до 6,3% – по сравнению с IV кварталом 2023 года. Также с 73% до 80% увеличилась доля таких инцидентов с применением вредоносного софта и почти в четыре раза выросла доля веб-атак – до 15%.

Исследование кибератак на российские компании в 2023 и трендов 2024 года подготовлено специалистами первого и крупнейшего центра противодействия кибератакам Solar JSOC ГК «Солар» на основе анализа около 300 организаций из разных отраслей экономики. Совокупно сервис обеспечивает контроль и выявление инцидентов для более 3600 внешних сервисов, опубликованных в интернете; более 178 тыс. серверов общего, инфраструктурного и прикладного назначения.

Рост инцидентов высокой критичности означает, что тренд на усложнение инцидентов и максимальный деструктив в отношении организаций, который наметился в 2023 году, получил свое развитие. Массовые атаки сменились более продвинутыми ударами – злоумышленники теперь чаще применяют нелегитимный софт (программы для удаленного администрирования, хакерские утилиты, исследовательское ПО пентестеров и т.д.) и средства проникновения в инфраструктуру, которые нельзя выявить базовыми системами обнаружения, отмечают эксперты Solar JSOC ГК «Солар».

Распределение инцидентов по уровню критичности

 

В целом за прошедший год число событий ИБ в сравнении с 2022 годом выросло на 64%, до 1,5 млн событий ИБ. При этом доля подтвержденных инцидентов оставалась стабильной. Среди всех типов инцидентов выделяется эксплуатация уязвимостей, показавшая рост в 2 раза год к году, до 11,5%. Это значит, что в компаниях по-прежнему вовремя не обновляют софт и не проводят постоянный анализ публичных сервисов и ресурсов на уязвимости, чем и пользуются злоумышленники.

За IV квартал было выявлено 473 тыс. событий ИБ, что на 20% больше, чем в III квартале 2023 года и на 68% выше показателей аналогичного периода 2022 года. Число подтвержденных инцидентов в IV квартале составило 5,7 тысяч – в среднем на одну компанию в IV квартале приходилось 19 атак.

Вредоносное ПО оставалось самым популярным инструментом хакеров, однако в IV квартале доля таких атак среди высококритичных инцидентов снизилась на 10 п.п., до 73%. Наряду с этим увеличилось число срабатываний специальных сенсоров SOC (EDR, NTA и AntiAPT), которые фиксируют инциденты, не выявляемые стандартными средствами мониторинга.

В дополнение злоумышленники стали чаще применять так называемые not-a-virus утилиты, которые не являются вирусами, но могут представлять угрозу для компьютера или его пользователей, и применять бесфайловые методы для закрепления и продвижения в инфраструктуре жертвы (когда вредоносное ПО загружается напрямую в оперативную память устройства, а файл не сохраняется на жестком диске). В дополнение в IV квартале в сравнении с III почти в два раза – с 9% до 17% – выросла доля атак, вызванных эксплуатацией уязвимостей, что в том числе говорит об учащении попыток прощупывания периметра жертвы.

«По итогам 2023 года киберграмотность персонала российских компаний все же повысилась, а бизнес начал адаптироваться к новой реальности. С другой стороны, атаки стали более адресными и сложными, а инструментарий – продвинутым. Однако мы не исключаем рост более массовых атак перед выборами Президента РФ в марте 2024 года», – пояснила Дарья Кошкина, руководитель направления аналитики киберугроз ГК «Солар».

Для обеспечения комплексной защиты эксперты ГК «Солар» рекомендуют ИБ-специалистам российский компаний повышать уровень патч-менеджмента, выстраивать грамотную систему приоритезации инцидентов с учетом их критичности и учиться находить корреляции между событиями ИБ для выявления этапов kill-chain. Также следует постоянно заниматься повышением уровня киберграмотности сотрудников, вести постоянный мониторинг внешних угроз, а в рамках SOC внедрить специальные сенсоры (EDR, NTA и AntiAPT) для обнаружения более продвинутых атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru