Сьогодні компанія WatchGuard Technologies опублікувала свій останній Квартальний звіт про безпеку в Інтернеті (ISR), у якому опубліковано основні тенденції зловмисного програмного забезпечення та загрози мережевій безпеці за третій квартал 2021 року. Порівняно з 2020 роком кількість програм-вимагачів і зловмисних програм особливо висока.
Рекордна швидкість сценарних атак на кінцеві точки, США під прицілом мережевих атак і з’єднання HTTPS, які тепер є стандартом для зловмисного програмного забезпечення нульового дня. Використовуючи анонімні дані Firebox Feed, дослідники з WatchGuard Threat Lab використовували анонімні дані Firebox Feed, щоб зрозуміти, на які цілі в основному були спрямовані зловмисники протягом цього періоду: хоча загальний обсяг виявлених атак зловмисного програмного забезпечення по периметру зменшився порівняно з високими показниками попереднього кварталу, для кінцевих точок, загальний обсяг усіх інцидентів за попередній рік уже був досягнутий до кінця третього кварталу 2021 року, а дані за 4 квартал 2021 року все ще очікують. Ще один висновок полягав у тому, що значний відсоток зловмисного програмного забезпечення все ще передається через зашифровані з’єднання, тенденція, яка стабільно зберігається протягом кількох кварталів.
Збільшення кількості зловмисних програм на пристрій
«Хоча загальний обсяг мережевих атак дещо зменшився в третьому кварталі, кількість шкідливих програм на пристрій зросла вперше з початку пандемії», — сказав Корі Нахрайнер, головний спеціаліст служби безпеки WatchGuard. «Дивлячись на рік до сьогодні в цілому, безпекове середовище залишається складним. Організаціям важливо дивитися не тільки на короткострокові припливи та відпливи, а також на сезонні коливання певних показників, а зосереджуватися на постійних тенденціях, що впливають на стан безпеки. Ключовим прикладом є все більш широке використання зашифрованих з’єднань для атак нульового дня. Уніфікована платформа безпеки WatchGuard пропонує комплексний захист у цьому контексті. Це дозволяє цілісно боротися з різними загрозами, яким сьогодні наражаються компанії».
WatchGuard Q3/2021 Звіт про безпеку в Інтернеті
Майже половина шкідливих програм нульового дня передається через зашифровані з’єднання
Хоча загальна кількість зловмисного програмного забезпечення нульового дня зросла на скромні три відсоткові пункти до 67,2 відсотка в третьому кварталі, зловмисне програмне забезпечення, що доставляється через Transport Layer Security (TLS), зросло з 31,6 відсотка до 47 відсотків. Загальний менший відсоток зашифрованих нульових днів загалом можна вітати в цьому контексті, але все ще є привід для занепокоєння, оскільки багато компаній досі взагалі не розшифровують такі з’єднання. Як наслідок, вони недостатньо бачать кількість шкідливих програм, які фактично досягають їхніх мереж.
Новіші версії Microsoft Windows і Office містять нові вразливості
Невиправлені уразливості в програмному забезпеченні Microsoft є типовими векторами атак. Крім старих версій, зараз також атакуються останні продукти від Redmond. У третьому кварталі CVE-2018-0802, який використовує вразливість у редакторі формул Microsoft Office, посів 6 місце в списку 10 найкращих шлюзових антивірусних програм WatchGuard за обсягом. Ця шкідлива програма вже фігурувала в списку найпоширеніших шкідливих програм у попередньому кварталі. Крім того, два інжектори коду Windows (Win32/Heim.D і Win32/Heri) зайняли 1-е і 6-е місця відповідно в списку найбільш часто виявлених шкідників.
Зловмисники непропорційно націлені на Америку. Переважна більшість мережевих атак у третьому кварталі була спрямована на Америку (3 відсотка), за нею йдуть Азіатсько-Тихоокеанський регіон (64,5 відсотків) і Європа (20 відсотка).
Загальна кількість виявлених мережевих атак нормалізувалася, але все ще становить значний ризик
Після послідовних кварталів зростання більш ніж на 20 відсотків служба запобігання вторгненням WatchGuard (IPS) виявила приблизно 4,1 мільйона унікальних мережевих атак у третьому кварталі. Зниження на 21 відсоток повернуло обсяги до рівня першого кварталу, який все ще був високим порівняно з роком тому. Ця зміна не обов’язково означає, що зловмисники сповільнюються, але вони можуть переключити свою увагу на більш цілеспрямовані атаки.
10 найпопулярніших сигнатур мережевих атак відповідають за переважну більшість атак
З 4.095.320 81 10 звернень IPS, знайдених у третьому кварталі, 10 найпопулярніших підписів становили 1054837 відсоток. Насправді, у 2019-му кварталі серед топ-1059160 був лише один новий підпис, «Включення віддаленого файлу WEB /etc/passwd» (XNUMX), який націлений на старіші, але все ще широко використовувані веб-сервери Microsoft Internet Information Services (IIS). З другого кварталу XNUMX року сигнатура XNUMX, SQL-ін’єкція, була на вершині списку.
Атаки за допомогою сценаріїв на кінцеві точки тривають рекордними темпами
До кінця третього кварталу AD360 Threat Intelligence та WatchGuard Endpoint Protection, Detection and Response (EPDR) уже зареєстрували на 2020 відсотків більше сценаріїв атак, ніж за весь 666 рік (знову спостерігалося зростання на XNUMX відсотків порівняно з минулим роком). Оскільки гібридні робочі групи стають правилом, а не винятком, сильного периметра вже недостатньо, щоб зупинити загрози. Кіберзлочинці можуть націлитися на кінцеві точки різними способами, від експлойтів додатків до сценарних атак, де навіть люди з обмеженими знаннями можуть повністю виконати шкідливе програмне забезпечення за допомогою інструментів сценаріїв, таких як PowerSploit, PowerWare та Cobalt Strike, маючи при цьому можливість щоб обійти базове виявлення пристрою.
Навіть зазвичай безпечні домени можуть бути зламані
Помилка протоколу в системі Microsoft Exchange Server Autodiscover дозволила зловмисникам збирати облікові дані домену та скомпрометувати кілька зазвичай довірених доменів. Загалом у третьому кварталі WatchGuard Fireboxes заблокував 5,6 мільйона шкідливих доменів. До них входили кілька нових доменів зловмисного програмного забезпечення, які намагалися встановити програмне забезпечення для криптомайнінгу, реєстратора ключів і троянів віддаленого доступу (RAT), а також домени для фішингу, які видавали себе за сайти SharePoint для викрадення облікових даних Office365. Хоча кількість заблокованих доменів зменшилася на 23 відсотки порівняно з попереднім кварталом, вона все одно в кілька разів перевищує рівень 4 кварталу 2020 року (1,3 мільйона). Це підкреслює важливість для організацій підтримувати свої сервери, бази даних, веб-сайти та системи в актуальному стані за допомогою останніх виправлень. Це єдиний спосіб обмежити вразливості, якими можуть скористатися зловмисники.
Програми-вимагачі, програми-вимагачі, програми-вимагачі
Після різкого зниження в 2020 році кількість атак програм-вимагачів уже становила 2021 відсотків від минулорічного обсягу на кінець вересня 105 року (як прогнозував WatchGuard наприкінці попереднього кварталу) і досягне 150 відсотків після аналізу даних. цілий рік. Постачальники програм-вимагачів як послуг, як-от REvil і GandCrap, ще більше знижують планку для злочинців із невеликим знанням програмування або зовсім без нього, надаючи інфраструктуру та шкідливе програмне забезпечення для здійснення атак по всьому світу за відсоток від викупу.
Найбільший інцидент із безпекою кварталу, Kaseya, став ще одним доказом постійної загрози атак цифрових мереж поставок
З початком довгих вихідних 4 липня в США десятки компаній повідомили про атаки програм-вимагачів на їхні кінцеві точки. В аналізі інциденту WatchGuard детально описано, як зловмисники, які працюють із компанією REvil, яка займається програмним забезпеченням-вимагачем як послугою (RaaS), використали три вразливості нульового дня (зокрема CVE-2021-30116 і CVE-2021-30118) у віддаленому моніторингу та управлінні Kaseya VSA. (RMM) програмного забезпечення. Згодом програмне забезпечення-вимагач було розповсюджено серед приблизно 1.500 організацій і потенційно мільйонів кінцевих точок. Щоправда, зрештою ФБР зламало сервери REvil і через кілька місяців отримало ключ розшифровки. Тим не менш, атака стала ще одним суворим нагадуванням організаціям про необхідність діяти на випередження. Приклади включають прийняття нульової довіри, застосування принципу найменших привілеїв до доступу співробітників, а також забезпечення оновлених і оновлених систем, щоб мінімізувати вплив атак на ланцюг поставок.
Щоквартальні звіти про дослідження WatchGuard базуються на деідентифікованих даних Firebox Feed з активних Fireboxs WatchGuard, власники яких погодилися на обмін даними для підтримки досліджень Threat Lab. У першому кварталі WatchGuard заблокував понад 16,6 мільйонів варіантів шкідливого програмного забезпечення (454 на пристрій) і понад 4 мільйони мережевих загроз. Повний звіт містить детальну інформацію про додаткові зловмисне програмне забезпечення та мережеві тенденції з третього кварталу 2021 року, ще більш глибокий аналіз загроз, виявлених на кінцевій точці в першій половині 2021 року, рекомендовані стратегії безпеки, ключові поради щодо захисту для організацій будь-якого розміру та галузі та багато іншого. більше
Більше на watchguard.com
Про охорону WatchGuard Technologies є одним із провідних постачальників у сфері ІТ-безпеки. Велике портфоліо продуктів варіюється від високорозвинених UTM (Unified Threat Management) і платформ брандмауера наступного покоління до багатофакторної аутентифікації та технологій для комплексного захисту WLAN і захисту кінцевих точок, а також інших спеціальних продуктів і інтелектуальних послуг, пов’язаних з ІТ-безпекою. Понад 250.000 XNUMX клієнтів у всьому світі довіряють складним механізмам захисту на корпоративному рівні,