Итоги 2017 года в сфере ИБ: угрозы, инциденты, тренды, события

Итоги 2017 года в сфере ИБ: угрозы, инциденты, тренды, события
В декабре всегда принято подводить итоги года. Это повод еще раз вспомнить за прошедшие несколько месяцев все самые важные, ключевые и интересные события, инциденты, факты, новости и открытия потрясшие мир ИТ и ИБ-индустрии. Еще это и повод выучиться на ошибках, вынести ценный опыт из имевших место кейсов, и конечно же уловить те тренды, что будут преобладать в наступающем периоде!

И 2017, безусловно, не стал исключением. Он запомнился многими яркими моментами: вирусы-шифровальщики, новые эксплоиты, взлет биткоина, ICO и невероятный рост популярности продуктов основанных на блокчейн технологии, машинное обучение и ИИ для ИБ, становление отечественных SOC и утверждение новых требований КИИ, всплеск malware на мобильных платформах, снова атаки на банки, следующий за ним ГОСТ по безопасности ФинТеха и еще целая куча чуть менее заметных, но не менее важных и весомых событий

И конечно, же 2017 принес очень многое лично для меня, это и выступление на PHDays и победа на ZeroNights, собственные исследования, подрастающая дружина молодых коллег в Политехе, новые знакомства, встречи, приятное общение и безумный драйв на многих очень крутых и интересных проектах!



Знаковые события в ИБ
1. Шифровальщики
Вирусы-шифровальщики уже сами по себе давно не новость , однако на их долю в текущем году выпало очень много инцидентов и шумихи вокруг этого. И не зря.. случившиеся заметным образом отличается от того что было в предыдущие годы.

По статистике некоторых исследований , каждая 10-я компания в 2017 года так или иначе стала жертвой вируса-шифровальщика. При этом, средний срок обнаружения взлома системы составляет 172 дня на Западе и почти 3 года в России. Если подойти с юмором, то вполне можно сказать, что 2017 это год шифровальщиков - майский WannaCry , летний ExPetr и осенний BadRabbit . Так по масштабам WannaCry и вовсе можно сравнить разве что c всемирным распространением червя Conficker в 2008-2009 году, что в антивирусных энциклопедиях до сих является одной из крупнейших эпидемией в мире. По сообщению исследовательского центра компании Group-IB, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов".

И наступающий 2018-й этот тренд продолжит только уже в чуть новом ключе – вместо шифровальщиков вымогающих деньги в обиход войдут вредонсосы скрытно использующие вычислительные мощности жертвы для веб-майнинга криптовалюты. Но о них чуть ниже.

2. Взлет криптовалюты и вредоносный майнинг
По сравнению с прошлым годом курс биткойна вырос в 15 раз и к концу года еще может легко побить этот рекорд. А капитализация платформы для умных контрактов Ethereum выросла вообще в 48 раз!

Если говорить прямо, то криптовалюты за текущий год оказали просто невероятное влияние на мировую экономику и уже существенным образом изменили рынок венчурных инвестиций. К примеру, объем привлеченных суммарных средств через ICO в 2017 году составил аж $3,5 млрд, тогда как традиционный IPO, имеет показатель чуть больше $1 млрд. Как вам такая разница?

И,конечно же логично, что с ростом этих новых технологий и ИТ-площадок связано появление и новых угроз и уязвимостей. Во-первых, это простор для разнообразных классических атак, как то создания фишинговых сайтов, взлома web-ресурсов и подмены ( мошенничества ) биткойн-кошелька. По статистике предоставленной ЛК , по итогам года $300 млн, то есть фактически десятая часть средств, привлеченных через ICO, была украдена преступниками.

И это пока что не все новости! В связи с безумным распространением майнинга криптовалюты появились новые атаки, в частности скрытый майнинг , как с помощью инфицирования малварью и даже скриптинга в браузере так и взломе web-ресурсов с целью создания ботнет-сетей отдающий свои вычислительные мощности злоумышленникам.


3. Malware на Android и iOS
По информации из отчета ЛК, в третей половине 2017 года резко возросло количество пользователей, атакованных мобильным банковским трояном Asacub. В июле текущего года количество жертв трояна выросло почти втрое, составив порядка 29 тыс. Также исследователи обнаружили новую модификацию мобильного трояна Svpeng, способного считывать введенный пользователем текст, отправлять SMS-сообщения и препятствовать своему удалению.

В этом же отчете также говорится о расширении списка мобильных приложений, атакуемых банковским трояном FakeToken. По мимо традиционного набора с фишинговыми страницами в сферу новых модификаций зловреда интересов вошли приложения для вызова такси, заказа авиабилетов и бронирования номеров в гостиницах. Основная цель трояна – сбор данных банковской карты пользователя.

В 2017 году по мимо всего прочего наблюдается и рост активности троянов, похищающих деньги пользователей посредством подписок. Так вредоносное ПО может нажимать кнопки на данных сайтах, используя специальные JS-файлы, таким образом осуществляя оплату неких услуг втайне от пользователя.

В TOP 10 банковских троянов, вошли Trojan-Spy..Zbot, Nymaim, Neurevt и Caphaw.

4. Эксплоиты
В течении всего 2017 года продолжился рост количества атак на пользователей с использованием вредоносных офисных документов.

Несмотря на появление двух новых уязвимостей для пакета Microsoft Office, CVE-2017-8570 и CVE-2017-8759, злоумышленники продолжают эксплуатировать CVE-2017-0199 – найденную в марте 2017 года логическую уязвимость в обработке NTA-объектов.Суммарно доля эксплойтов для Microsoft Office составила в третьем квартале 27,80%.

В октябре обнаружили новый эксплойт для уязвимости нулевого дня в Adobe Flash, который доставлялся через документ Microsoft Office и использовался «в дикой среде» против наших клиентов. Мы уверены, что эта атака связана с группировкой, которую мы отслеживаем под именем BlackOasis .

В третьем квартале не было крупных сетевых атак (таких как WannaCry или ExPetr ) с использованием уязвимостей, исправленных в обновлении MS17-010.

Публикация дампа кода группировкой ShadowBrokers, в результате чего продвинутые эксплойты, якобы разработанные АНБ, попали в руки криминальных групп, которые иначе не получили бы доступа к коду такого высокого уровня.
5. APT - атаки (таргетированные атаки)
По статистика от ЛК по сравнению с 2016-м число таргетированных атак в текущем году выросло вдвое. При этом всего около 10 из них, как Silence , имеют коммерческие интересы, тогда как цель остальных – кибершпионаж и охота за данными государственных ведомств и компаний нефтегазовой отрасли. Однако, большую часть жертв киберпреступников составили российские банки

В октябре в даркнете в свободной продаже было обнаружено новое вредоносное ПО для банкоматов Cutlet Maker . Купив его за несколько тысяч долларов, даже новички в темном искусстве могли начать опустошать банкоматы.


Финансовая составляющая ИБ
1. Текущая статистика
В декабре 2017 года стало известно , что мировые расходы компаний на обеспечение информационной безопасности в 2017 году составят $89,13 млрд. Согласно оценке Gartner, корпоративные затраты на кибербезопасность почти на $7 млрд превысят сумму 2016 года в $82,2 млрд.

Крупнейшей статей расходов эксперты считают ИБ-услуги: в 2017 году компании направят на эти цели свыше $53 млрд против $48,8 млрд в 2016-м. Второй по величине сегмент ИБ-рынка — решения для защиты инфраструктуры, затраты на которые в 2017-м составят $16,2 млрд вместо $15,2 млрд год назад. Оборудование для сетевой безопасности — на третьем месте ($10,93 млрд).

В структуру ИБ-расходов также входит потребительское ПО для обеспечения информационной безопасности и системы идентификации и управления доступом (Identity and Access Management, IAM). Затраты по этим направлениям в 2017 году в Gartner оценивают в $4,64 млрд и $4,3 млрд, тогда как в 2016 году показатели были на уровне $4,57 млрд и $3,9 млрд соответственно.

Аналитики ожидают дальнейший подъем на ИБ-рынке: в 2018 году организации увеличат затраты на киберзащиту еще на 8% и направят на эти цели в общей сложности $96,3 млрд. Среди факторов роста специалисты перечислили меняющееся регулирование в ИБ-сфере, информированность о новых угрозах и разворот компаний к стратегии цифрового бизнеса.

2. Статистика и прогноз Gartner
Прогноз Gartner на 2018 год предусматривает увеличение расходов по всем основным направлениям. Так, на сервисы киберзащиты будет потрачено около $57,7 млрд (+$4,65 млрд), на обеспечение безопасности инфраструктуры — порядка $17,5 млрд (+$1,25 млрд), на оборудование для защиты сетей — $11,67 млрд (+$735 млн), на потребительское ПО — $4,74 млрд (+$109 млн) и на IAM-системы — $4,69 млрд (+$416 млн).

Также аналитики полагают , что к 2020 году более 60% организаций в мире будут вкладывать средства одновременно в несколько инструментов защиты данных, в том числе в средства предотвращения потери информации, шифрования и аудита. По состоянию на конец 2017 года доля компаний, закупающих такие решения, была оценена в 35%.

Еще одной существенно статьей корпоративных расходов на информационную безопасность будет привлечение сторонних специалистов. Ожидается, что на фоне дефицита кадров в области кибербезопасности, растущей технической сложности ИБ-систем и увеличения киберугроз затраты компаний на ИБ-аутсорсинг в 2018 году увеличатся на 11% и составят $18,5 млрд.

По расчетам Gartner, к 2019 году корпоративные расходы на услуги сторонних ИБ-экспертов составят 75% от общей суммы затрат на ПО и оборудование для обеспечения кибербезопасности, тогда как в 2016 году это соотношение было на уровне 63%.
Публичные отчеты ИБ
1. Security Intelligence Report 2017
Совсем недавно Microsoft опубликовала регулярный отчет по статистике угроз безопасности информационных систем.

Так согласно исследованию, по итогам 1 квартала 2017 года 14,8% компьютеров в России столкнулись с вредоносным ПО, тогда как в мире этот показатель составил 9%. При этом статистика по месяцам в России за отчетный квартал демонстрирует тенденцию к снижению — 17,2% в январе, 15,1% в феврале и 12% в марте 2017 года.

С ростом популярности облачных сервисов увеличилось и количество атак на них. По данным исследования Microsoft, в 2017 году в мире было зафиксировано в 4 раза больше угроз безопасности, чем за аналогичный период годом ранее. Количество попыток входа в учетную запись Microsoft с вредоносных IP-адресов увеличилось на 44%, став самой главной причиной заражения облачных сервисов (51%). Также наиболее распространены атаки через: протокол удалённого доступа (23%), спам (19%), сканирование портов (3,7%), протокол SSH* (1,7%) и другие.

В отчете отмечается, что самой распространенной категорией стали трояны: на конец 1 квартала 2017 года они были обнаружены у пользователей 10,26% компьютеров. Второе и третье место заняли вирусы (1,59%) и загрузчики троянов и дропперы (0,64%). В тот же период среди нежелательного программного обеспечения на большинстве зараженных компьютеров были найдены инсталляторы дополнительного ПО (5,49%), модификаторы браузера (2,14%) и рекламное ПО (0,25%).

2. Hi-Tech Crime Trends 2017 от Group-IB

Банки, электростанции, криптобиржи — наиболее вероятные цели хакеров в следующем году. По мнению экспертов, главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки.

Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов.
  • Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%
  • Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже.
  • Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
  • Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн.
  • Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу, и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.
  • Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критически важной инфраструктуры. Хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии.
Развитие хакерского инструментария

Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.

3. Сводная статистика по зафиксированным во II квартале 2017 года Центром мониторинга событиям и инцидентам информационной безопасности.

За три месяца сенсоры зафиксировали и проанализировали 254 453 172 события информационной безопасности и выявили 144 инцидента.

Результаты глобального исследования тенденций информационной безопасности на 2017 год открывают более широкий взгляд на кибербезопасность и конфиденциальность и представляют их драйверами развития бизнеса и отношений с клиентами и партнерами.

Анализ результатов позволил выделить четыре основные тенденции:
Интернет вещей (IoT) и безопаность

По сведениям из источника , первые месяцы текущего года Интернет вещей (IoT) преподнес небольшой сюрприз, когда смарт-ТВ были атакованы шифровальщиком. Телевизоры LG под управлением Android стали первыми жертвами, показав, что «умные» телевизоры могут быть удаленно скомпрометированы с помощью DTT-сигналов.

Другой кейс. Как объяснил исследователь Нетанель Рубин на последнем Chaos Communications Congress в Гамбурге (Германия), смарт-счетчики представляют опасность по некоторым направлениям. Поскольку все данные по потреблению электричества дома и в офисе записываются и отправляются в электрокомпанию, то хакер, контролирующий устройство, может просматривать информацию и использовать ее во вредоносных целях. Например, грабителю будет очень полезно знать, в какое время суток дом или офис пустой. Он также может удаленно узнать, какие устройства находятся в помещении, т.к. каждое электронное устройство оставляет свой уникальный «отпечаток» в электросети.


Wikileaks и утечки данных

Wikileaks продолжит публикацию информации о Vault 7, которая содержит описание глобальной программы ЦРУ США для взлома электронных устройств.


ИТ-технологии

Машинное обучение для ИБ
Машинное обучение — технология, которая дарит компьютерам когнитивные способности. Благодаря ей машины не используют детерминированные алгоритмы, а могут выполнять задачи по-разному. Это можно назвать прообразом искусственного интеллекта. Это здорово облегчают повседневные задачи: мобильные телефоны распознают голосовые команды, поисковые системы выдают лучшие запросы, почта отличает и отфильтровывает спам.

Аналитик 451 Research Эрик Огрен утверждает , что машинное обучение, которое анализирует поведение пользователя, — крупнейшая тенденция в области безопасности в 2017 и грядущем 2018 году. Оно дает шансы предотвратить ущерб от атак, которые были не замечены стандартными средствами обороны. Благодаря нему становится возможным сформировать статистический профиль нормальной активности пользователя, устройства или сайта и идентифицировать события, выходящие за обычные рамки. Поведенческая аналитика позволяет предотвратить нарушения безопасности и несанкционированный доступ к закрытым сведениям.


Нормативно-правовое регулирование ИБ

1.Федеральный закон о КИИ
В уходящем году особенно актуальной стала проблема кибербезопасности. Новый федеральный закон N187-ФЗ «О безопасности критической информационной инфраструктуры РФ» только подчеркивает необходимость и важность защиты каждой системы. И не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы  контроля эффективности защитных мер.

2. SOC, ГосСОПКА и FinCERT
Сформировалась новая для российского рынка концепция «частно-государственного» партнерства в области безопасности. Данная схема предполагает наличие государственных или частных систем, которые нужно защищать. Во главе схемы располагается государство в лице 8 центра безопасности ФСБ России, которое отвечает за функционирование системы ГосСОПКА, и есть разнообразие корпоративных и ведомственных центров реагирования на компьютерные атаки. В результате получается, что общегосударственная защита информационных систем распределяется между государством и коммерческими компаниями. При этом появляется возможность реализовывать аутсорсинг информационной безопасности. В конечном счете создается система взаимосвязанных субъектов: защищающиеся системы, ГосСОПКА, государство. Система ГосСОПКА и требования закона N 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров ГосСОПКА позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых.


3. GDPR или защита Персональных данных по европейски
Закон о защите персональных данных (GDPR), вступающий в силу в 2018 году в Евросоюзе, определяет, насколько система является значимой для субъекта обрабатываемых персональных данных. Для значимых информационных систем вводятся привычные нам понятия: национальное регулирование, сертификация систем на требования национальных регуляторов. От добровольной защиты информационных систем западный мир переходит к императивным подходам, т.е. обязательным требованиям по защите информации. Таким образом, и российский и зарубежный рынок сейчас задаются одним и тем же вопросом: что мы должны сделать, чтобы привести свою систему защиты к соответствию с новыми видами законодательства
Общие тенденции
Ключевыми событиями 2017 года, безусловно, были атаки вымогателей WannaCry , ExPetr и BadRabbit . Исследователи полагают, что за WannaCry стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру.

В 2017 году мы наблюдали возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить Shamoon0 и StoneDrill . Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания Microcin .

В 2017 году стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, мы рассказали о BlueNoroff – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.

В 2017 году продолжился рост числа атак на банкоматы. Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды.

Спустя год после активности ботнета Mirai в 2016 году, ботнет Hajime смог заразить 300 000 подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.

В 2017 году имели место крупные утечки данных из компаний Avanti Markets , Election Systems & Software , Dow Jones , America’s Job Link Alliance , Equifax и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 года стало известно об утечке из Uber , произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 миллионах пользователей и водителей такси.

Чуть-чуть о том, что будет трендом в 2018

Ответом на усложнение атак стал рост интереса к построению центров мониторинга безопасности (SOC). Уже в 2017 году около 10 компаний приступили к созданию своих SOC, а в 2018 это число вырастет в три раза.

Безопасность умных автомобилей. Заражение через Wi-Fi или Bluetooth подключение может обеспечить злоумышленникам полный контроль над системами машины.

Зловреды для Android. В уходящем году владельцы устройств на мобильной ОС от Google столкнулись с целым рядом новых угроз. Это и первый гибридный банкер-троянец , и миграция с Linux уязвимости Dirty COW , позволяющей перехватить контроль над устройством, и скрытые функции приложений .

Скрытая добыча криптовалют и кража токенов. Майнинг биткойнов требует все больших ресурсов, и злоумышленники пытаются использовать для обогащения крупные ботнеты.

IoT-ботнеты. Сеть Mirai, объединяющая сотни тысяч подключенных устройств, чтобы проводить DDoS-атаки, ставит вопрос об опасности «умных» гаджетов. В 2017 году ботнет распространился и на Windows-машины. Защищенность IoT-устройств, количество которых к 2020 году может достичь отметки в 50 млрд штук, становится проблемой критической важности.

Продолжится рост логических атак на банкоматы (только за первое полугодие 2017 года общий объем атак такого типа в странах Европы вырос на 500%). Банки, в свою очередь, станут еще активнее интересоваться реальными угрозами, грозящими финансовыми потерями, и оценивать риски
итоги тренд report security отчет 2017 год безопасность прогноз WannaCry BadRabbit Petya ICO биткоен Gartner Wikileaks GDPR
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события