Наиболее опасные вредоносы первой половины 2022 года, и как им противостоять

Спустя два года после начала пандемии существенная часть компаний продолжает работу в удаленном или гибридном формате. Ставшая популярной концепция BYOD (Bring Your Own Device), согласно которой персонал использует собственные устройства для доступа к корпоративной сети, по-прежнему создает серьезные риски для информационной безопасности предприятий. Это расширяет возможный ландшафт киберугроз и увеличивает вероятность успеха атак, число которых неуклонно растет.

Автор: Дмитрий Крайненко, руководитель направления информационной безопасности Fortis

По данным Check Point Software Technologies, за последние полгода организации в России атаковали в среднем 1461 раз в неделю, что на 33% больше по сравнению с аналогичным периодом прошлого года.

Кибератаки постоянно совершенствуются, становятся все более изощренными и продуманными. Сегодня для надежной защиты конечных устройств недостаточно традиционного антивируса: он заблокирует лишь атаки, для которых существуют сигнатуры. Давайте посмотрим, какие киберугрозы сейчас наиболее актуальны для бизнеса и какие современные технологии позволяют от них защититься.

Самые распространенные киберугрозы в России

Для обеспечения надежной защиты корпоративной ИТ-инфраструктуры необходимо знать угрозы, которые представляют наибольшую опасность.

Данные Check Point Software Technologies свидетельствуют о том, что в последние полгода чаще всего российские организации подвергались атакам ботнетов – 16,3% из всех атакованных компаний. При этом среднемировой показатель угрозы ботнетов составляет лишь 5,3%. Чаще всего ботнеты используют для DDoS-атак, призванных выводить из строя корпоративные ресурсы.

В последнее время было много громких случаев, связанных с DDoS-атаками, например в мае СберБанк успешно отразил [1] крупнейшую DDoS-атаку в своей истории. В тройку самых актуальных киберугроз для российских компаний также входят криптомайнеры, атакам которых подверглась 7,1% отечественных организаций, и инфостилеры, затронувшие 6% компаний.

Самые распространенные вредоносные программы

Рассматривая конкретные вредоносные программы, которые представляют наибольшую опасность для бизнеса в России, можно выделить три основные угрозы.

SnakeKeylogger

SnakeKeylogger – программа-шпион для ПК, которая считывает нажатие клавиш на клавиатуре и передает собранные данные злоумышленникам. Заражение SnakeKeylogger представляет большую опасность для конфиденциальности пользователей, поскольку может собирать практически все виды личных данных. Этот кейлогер очень тяжело обнаружить и еще труднее удалить с устройств. В мае 2022 г. SnakeKeylogger затронула 6% российских компаний.

Pony

Pony – это вредоносное ПО, предназначенное в первую очередь для кражи учетных данных пользователей ОС Windows и отправки их на сервер злоумышленников. Pony позволяет отслеживать активность системы, загружать и устанавливать дополнительные вредоносные программы и даже распространяться по сети, заражая другие устройства. Иными словами, Pony функционирует как ботнет, а из-за своей децентрализованной структуры эта программа может распространяться сразу по нескольким векторам. В мае она была обнаружена и обезврежена в 5% корпоративных сетей российских организаций.

AgentTesla

Столько же отечественных компаний столкнулись еще с одной угрозой – AgentTesla. Это продвинутый троян удаленного доступа (RAT) для кражи учетных данных. Он может собирать данные с клавиатуры жертвы и из буфера обмена, делать снимки экрана и извлекать учетные данные, которые пользователь вводит в различные программы, установленные на компьютере, включая Google Chrome, Mozilla Firefox и Microsoft Outlook. AgentTesla без каких-либо ограничений продается в даркнете, и любой человек, например уволенный сотрудник, может купить пользовательскую лицензию для проведения атак.

Решение для защиты конечных устройств – EDR

EDR (Endpoint Detection & Response) – это класс решений для обнаружения и изучения вредоносной активности на конечных устройствах. Они разработаны специально для того, чтобы вывести безопасность организации за рамки реактивной модели киберзащиты, основанной на обнаружении угроз. EDR-решения предоставляют аналитикам безопасности инструменты, необходимые им для упреждающего выявления угроз и защиты от них. Давайте рассмотрим главные преимущества EDR.

1. Улучшение видимости. EDR-решения выполняют непрерывный сбор и аналитику данных и отправляют отчеты в единую централизованную систему. Таким образом, ИБ-специалисты получают полную информацию о состоянии конечных точек сети на единой консоли. В отличие от администрирования разрозненных ИБ-решений централизованное управление информационной безопасностью через облачный сервис позволяет следить за состоянием всех защищаемых конечных устройств вне зависимости от их местоположения. Это устраняет бреши в безопасности, снижает количество ошибок, а также экономит временные и финансовые ресурсы компании.
2. Ускорение расследования. Решения EDR позволяют автоматизировать сбор и обработку данных, а также выполнение определенных действий по реагированию. С их помощью ИБ-специалисты быстрее получают контекст потенциального инцидента безопасности и могут оперативнее принять меры для его устранения.
3. Автоматизация исправления. EDR-решения могут автоматически выполнять ряд действий по реагированию на инциденты, руководствуясь предустановленными правилами. Они могут блокировать или быстро устранять определенные угрозы, тем самым снижая нагрузку на ИБ-аналитиков.
4. Возможность контекстуального поиска угроз. EDR-решения способны проводить непрерывный сбор и анализ данных, отображая информацию о состоянии конечной точки. Эти данные позволяют ИБ-аналитикам выявлять и исследовать действия вредоносных программ.

Для эффективной защиты конечных устройств необходимо также выстроить многоуровневую систему безопасности. Она создается на базе ИБ-решений, которые задействуют несколько продвинутых технологий на разных этапах атаки. Например, локальный межсетевой экран, технологии шифрования данных, использование искусственного интеллекта для анализа трафика из различных приложений и управления политиками безопасности позволяют обнаружить и предотвратить кибератаку до ее запуска. Если атака состоялась, запускаются технологии защиты от фишинга и блокировки потенциально вредоносных сайтов (URL Filtering), которые ограничивают доступ к вредоносным сайтам и реагируют на известные угрозы. Для борьбы с уязвимостями нулевого дня существуют технологии, позволяющие мгновенно конвертировать потенциально вредоносные файлы в безопасную форму или изолировать их в безопасной песочнице в виртуальной среде, чтобы они не попали в сеть. За автоматической реакцией на киберугрозу должна последовать аналитическая работа: ИБ-отделу нужно изучить ее схему, выявить слабое звено в ИТ-инфраструктуре и восстановить поврежденные файлы. В этом помогут технологии анализа поведения системы, фиксирующие подозрительную активность и сохраняющие данные на жестком диске.

Выводы

Конечные устройства нередко оказываются наиболее уязвимым звеном корпоративной безопасности. Отсутствие надежной защиты может обернуться кражей конфиденциальных данных, нарушением функционирования ИТ-инфраструктуры и остановкой бизнес-процессов. Для защиты корпоративных сетей и конфиденциальной информации компаниям необходимо пересмотреть свой подход к обеспечению кибербезопасности конечных устройств и использовать новейшие технологии защиты.

1. https://www.sberbank.com/ru/news-and-media/press-releases/article?newsID=ac98f15b-d389-4eb0-8efe-d8fcab60e288&blockID=7&regionID=77&lang=ru&type=NEWS