Согласно исследованию, в январе-июне 2020 года основные векторы атак на информационные системы российских компаний пришлись на заражение вредоносным программным обеспечением (ВПО, 28%), эксплуатацию уязвимостей (12%) и доставку ВПО через e-mail (т.е. фишинг, 7%). Для сравнения, во II полугодии 2019 года доля заражения ВПО была на уровне 7%, а доли эксплуатации уязвимостей и доставки ВПО через e-mail – на уровне 4% каждый.
«Такой профиль подтвержденных инцидентов ИБ в I полугодии 2020 года является следствием экстренного перехода компаний на режим удаленной работы и последующей адаптации ИТ-инфраструктур к новому формату взаимодействия, – комментирует руководитель Angara Professional Assistance Оксана Васильева. – Размытие периметра ИБ, недостаточное внимание к защите средств удаленного доступа привело к лавинообразному росту самых простейших видов атак».
Из отчета следует, что большое количество ВПО было скачано пользователями под видом легитимных приложений (в том числе игровое ПО, средства для взлома ПО, мессенджеры и т.д.). Подобные инциденты, непосредственно связанные с удаленной работой, составили 12% от всех событий, относящихся к ВПО. Увеличение их количества вызвано прямым доступом в сеть Интернет мимо корпоративных средств анализа веб-трафика.
Аналитики ACRC зафиксировали большое количество фишинговых писем на корпоративные адреса компаний, содержащих вредоносные вложения или ссылки на вредоносный контент. Чаще всего вредоносное вложение доставляется в архиве с паролем, что позволяет обойти проверку содержимого средствами антивирусной защиты на почтовом сервере. Одна из заметных фишинговых рассылок была замаскирована под запрос Федеральной налоговой службы России: пользователь получил письмо от адресата info@nalog.ru с темой «Запрос ФНС». Во вложении находился исполняемый файл, который при запуске инициировал установку средства удаленного администрирования Remote Manipulator System (RMS), которое злоумышленники давно используют для управления скомпрометированными хостами.
Что касается эксплуатации уязвимостей, то во время удаленной работы регистрировались инциденты, связанные с эксплуатацией таких брешей, как CVE-2019-0708 (BlueKeep) и CVE-2017-0144 (EternalBlue) протоколов RDP и SMB на корпоративных хостах. В ходе расследования выяснилось, что хостам выдавались белые адреса сети Интернет для работы из дома, что позволило внешним злоумышленникам осуществить попытки эксплуатации уязвимостей.
Согласно статистическим данным по месяцам, уже в мае ситуация стабилизировалась: число подтвержденных инцидентов ИБ упало на 45% к предыдущему месяцу. «В первой половине года мир столкнулся с новыми вызовами. Приспосабливаться в сжатые сроки пришлось всем, в частности, коммерческим поставщикам услуг SOC. Центру киберустойчивости и нашим клиентам удалось адаптироваться к текущей ситуации за короткое время и, хотя и произошел общий рост вредоносной активности, она не отразилась на функционировании бизнеса заказчиков», – подводит итоги Оксана Васильева.
AngaraCyber Resilience Center (ACRC) – собственный центр мониторинга событий ИБ и расследования инцидентов Angara Professional Assistance, который оказывает услуги по мониторингу и выявлению инцидентов информационной безопасности в круглосуточном режиме. Пользователями сервиса являются кредитно-финансовые организации, предприятия ТЭК и промышленности, телекоммуникационные и транспортные компании, а также госструктуры и ведомства по всей стране.