Число безфайловых вредоносных атак выросло на 900%, а криптомайнеры возвращаются

Число безфайловых вредоносных атак выросло на 900%, а криптомайнеры возвращаются
Компания WatchGuard Technologies , мировой лидер в области сетевой безопасности и расследования инцидентов, многофакторной аутентификации (MFA), расширенной защиты конечных устройств и безопасного Wi-Fi, 30 марта опубликовала свой отчет по Интернет-безопасности за 4 квартал 2020 года . Отчет включает в себя данные, основанные на исследовании угроз конечным устройствам компанией Panda Security, приобретенной WatchGuard  в июне 2020 года. Среди наиболее заметных выводов доклада следует отметить, что в 2020 году по сравнению с 2019 годом количество безфайловых атак и криптомайнеров выросло почти на 900% и 25% соответственно, в то время как «полезная нагрузка» программ-шифровальщиков сократилась на 48%. Кроме того, выявлено, что в 4 квартале 2020 года количество обнаруженных зашифрованных вредоносных программ (encrypted malware) увеличилось на 41% по сравнению с предыдущим кварталом, а сетевые атаки достигли самого высокого уровня с 2018 года.

«Развитие в прошлом квартале и в течение всего 2020 года изощренных и уклончивых от обнаружения тактик, применяемых в современных угрозах, демонстрирует, насколько жизненно важно внедрять многоуровневую, сквозную защиту безопасности», - сказал Кори Нахрайнер, Технический директор WatchGuard. «Атаки идут по всем фронтам, поскольку кибер-преступники все чаще используют безфайловые вредоносные программы, криптомайнеры, зашифрованные атаки и многое другое. А также нацеливаются на пользователей как в удаленных местах, так и на корпоративные устройства внутри традиционного периметра сети. Эффективная безопасность сегодня означает приоритетное обнаружение атак на конечные устройства и реагирование на них ( EDR ), защиту сети и основополагающие меры предосторожности, такие как повышение осведомленности сотрудников о безопасности и строгое управление патчами».


Ежеквартальные отчеты WatchGuard по Интернет-безопасности информируют домашних и корпоративных пользователей, партнеров компании о последних тенденциях в области вредоносных программ, атак на конечные устройства и сетевых атак по мере их появления. Основные выводы отчета за 4 квартал 2020 года включают:
  • Количество безфайловых вредоносных атак стремительно растет: Уровень безфайловых вредоносных программ в 2020 году вырос на 888% по сравнению с 2019 годом. Эти угрозы могут быть особенно опасны из-за их способности уклоняться от обнаружения со стороны традиционных средств защиты конечных устройств и поражать конечные устройства без каких-либо активных действий со стороны жертвы (кроме нажатия вредоносной ссылки или неосознанного посещения скомпрометированного веб-сайта). Такие наборы инструментов как PowerSploit и CobaltStrike позволяют злоумышленникам легко внедрять вредоносный код в другие запущенные на конечном устройстве процессы и оставаться работоспособными, даже если система защиты жертвы идентифицирует угрозу и удалит исходный скрипт. Только внедрение решений с расширенными опциями безопасности, такими как EDR (обнаружения атак на конечные устройства и реагирования на них), наряду с превентивной защитой от вредоносных программ может помочь выявить подобные угрозы.
  • Криптомайнеры на подъеме после затишья 2019 года: После того как практически все цены на криптовалюты рухнули в начале 2018 года, заражения криптомайнерами стали гораздо менее распространенными и достигли минимума (обнаружение 633 уникальных вариантов) в 2019 году. Тем не менее, злоумышленники продолжали добавлять модули криптомайнеров к существующим ботнет-заражениям и извлекать пассивный доход от жертв, злоупотребляя их сетями и ресурсами для совершения других кибер-преступлений. В результате, а также с учетом того, что цены снова пошли вверх в 4 квартале 2020 года, объем обнаружения вредоносных программ-криптомайнеров вырос более чем на 25% по сравнению с уровнем 2019 года и достиг в прошлом году 850 уникальных вариантов.
  • Объемы атак шифровальщиками продолжают сокращаться: В 2020 году, уже второй год подряд, количество уникальных шифровальщиков имеет тенденцию к снижению, упав до 2152 « уникальных полезных нагрузок » с 4131 в 2019 году и рекордного уровня в 5489 в 2018 году. Речь идет об отдельных вариантах программ-шифровальщиков, которые могли заразить сотни или тысячи конечных устройств по всему миру. Большинство этих обнаружений были получены с помощью сигнатур, первоначально внедренных в 2017 году для обнаружения WannaCry и связанных с ним вариантов, - это  показывает, что тактика ransomware все еще процветает в течение трех лет после того, как WannaCry стал известен всему миру. Неуклонное снижение числа программ-шифровальщиков указывает на продолжающийся переход злоумышленников от несфокусированных, широко распространенных кампаний прошлого к узконаправленным атакам на медицинские организации, производственные предприятия и другие организации, сбои в работе которых попросту неприемлемы.
  • Зашифрованные, уклончивые от обнаружения атаки вредоносных программ демонстрируют двузначный рост: Несмотря на то, что в целом количество вредоносных программ снижается четвертый квартал подряд, почти половина (47%) всех атак, обнаруженных на периметрах корпоративных сетей в четвертом квартале, были зашифрованы. Кроме того, количество вредоносного ПО, доставляемого через HTTPS -соединения, выросло на 41%, в то время как зашифрованное вредоносное ПО нулевого дня (варианты, которые обходят антивирусные сигнатуры) выросло на 22% по сравнению с 3 кварталом 2020 года.
  • Вредоносное ПО ботнетов, нацеленное на IoT -устройства и маршрутизаторы, становится главным «героем»: В 4 квартале 2020 года вирус Linux . Generic (также известный как « The Moon ») дебютировал в списке 10 вредоносных программ, наиболее часто обнаруживаемых компанией WatchGuard . Эта вредоносная программа является частью сети серверов, которые непосредственно нацелены на IoT -устройства и домашние сетевые устройства (например, роутеры) с целью использования любых найденных на них уязвимостей. Расследование, выявило в инфраструктуре злоумышленников специфичное для Linux вредоносное ПО, предназначенное для процессоров ARM , и еще одну «полезную нагрузку», предназначенную для процессоров MIPS , что указывает на четкую ориентацию на выполнение уклончивых от обнаружения атак на устройства «Интернета вещей».
  • Инцидент в SolarWinds иллюстрирует опасность атак на цепочки поставок: Изощренная, якобы спонсируемая неким государством атака на цепочку поставок в SolarWinds будет иметь широкие последствия для всей индустрии безопасности в течение многих последующих лет. Ее влияние распространилось далеко за пределы SolarWinds почти на 100 компаний, включая некоторые крупные компании из списка Fortune 500, крупные охранные предприятия и даже правительство США. Детальный разбор инцидентов демонстрирует всю важность защиты от атак на цепочки поставок в современной взаимосвязанной цифровой экосистеме.
  • Новый троян одурачивает почтовые сканеры с помощью мульти-загрузочного подхода: Script .1026663 вошел в пятерку самых распространенных вредоносных программ, обнаруженных компанией WatchGuard в 4 квартале 2020 года. Атака начинается с электронного письма, в котором жертву просят просмотреть вложение со списком заказов. Документ запускает набор «полезных нагрузок» и вредоносный код, которые в конечном итоге проводят против устройства жертвы финальную атаку: троян удаленного доступа ( RAT ) Agent Tesla и кейлоггер.
  • Объем сетевых атак приближается к пику 2018 года: Общее количество обнаруженных сетевых атак в 4 квартале 2020 года выросло на 5%, достигнув самого высокого уровня за последние два года. Кроме того, общее количество уникальных сигнатур сетевых атак также демонстрировало устойчивый рост, увеличившись на 4% по сравнению с 3 кварталом 2020 года. Все это показывает, что даже когда весь мир продолжает работать удаленно, периметр корпоративной сети все еще находится «под прицельным огнем», поскольку злоумышленники продолжают нацеливаться на ИТ-активы предприятий, размещенных в локальных сетях предприятий.
В 4 квартале 2020 года устройства защиты периметра сети заблокировали в общей сложности более 20,6 миллионов вариантов вредоносных программ (в среднем 456 вариантов на каждое устройство) и почти 3,5 миллиона сетевых угроз (в среднем 77 обнаружений на каждое устройство). Суммарно в 4 квартале устройства WatchGuard заблокировали 455 уникальных сигнатур атак, что на 4% больше по сравнению с 3 кварталом 2020 года и является максимальным результатом с 4 квартала 2018 года. Ежеквартальные исследовательские отчеты основаны на анонимных данных от активных устройств WatchGuard, владельцы которых решили поделиться этими данными для поддержки исследовательских усилий лаборатории угроз WatchGuard Threat Labs. Кроме того, новый отчет по исследованию угроз конечным устройствам обеспечивает более глубокое понимание существующих вредоносных атак и тенденций в течение 2020 года на основе более чем 2,5 миллионов уникальных предупреждений об угрозах, полученных с 1,7 миллиона конечных устройств в 92 странах мира.

Полный отчет включает в себя подробную информацию о дополнительных тенденциях в области вредоносных программ и сетевых атак в течение 4 квартала 2020 года, подробный анализ печально известной атаки на цепочку поставок SolarWinds и ключевые рекомендации для специалистов по безопасности. Читайте полный отчет компании WatchGuard по Интернет-безопасности за 4 квартал 2020 года здесь .


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
B2B информационная безопасность тенденции отчет
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.