Language switcher

Вы здесь

Тенденции и наблюдения в киберпространстве - Ежеквартальный обзор, II квартал 2020 г.

Новая опасность атак программ-вымогателей: кража данных

СИТУАЦИЯ

Несмотря на то, что об атаках программ-вымогателей не говорили так много, как в 2017-2018 годах, они никуда не исчезли. Инциденты последних месяцев свидетельствуют об ужесточении тактики атакующих: помимо шифрования данных их также похищают и угрожают опубликовать.

У классической атаки программы-вымогателя было обычно три шага:

  1. Атакующий устанавливает в компьютере или на сервере жертвы программу-вымогатель. Все чаще для этого используется удаленное приложение для настольных компьютеров со слабой защитой, или взлом происходит из-за слабых или повторно использованных паролей. Также вредоносные программы распространяются в файлах, отправленных вместе с электронным письмом.
  2. Программа-вымогатель шифрует часть файлов, содержащихся в компьютерах или на серверах, или жесткие диски целиком. После этого жертва больше не может открыть файлы.
  3. Атакующий требует выкуп за восстановление данных, то есть за ключ дешифрования, как правило, в какой-либо криптовалюте (например, в биткойнах).

Поскольку организации всё больше понимают важность архивации и лучше защищают свои данные, то они не платят выкупа, поскольку зашифрованные данные можно восстановить также без дешифровального ключа. Исходя из этого организаторы атак программ-вымогателей добавили четвертый шаг: во время первого взлома они похищают данные и в случае отказа платить выкуп угрожают их обнародовать.

CERT-EE известно, что недавно такой атаке программы-вымогателя подверглось одно международное медицинское учреждение (не в Эстонии). Когда жертва отказалась платить за дешифровальный ключ, атакующие сообщили, что опубликуют украденные в ходе атаки данные, и затем реализовали эту угрозу. В результате этого произошла утечка деликатных персональных данных пациентов, таких как имя, дата рождения, примечания об аллергии, результатах тестов и т. п.

Кража данных усложняет и замедляет атаку программы-вымогателя, а также увеличивается вероятность обнаружения кражи, но возможность получения выкупа от организаций, использующих резервные копии, увеличила долю атак такого рода. По оценке Национального агентства кибербезопасности Франции (ANSSI), атаки, направленные на кражу данных и угрозу их разглашения, составляют почти четверть от известных агентству атак программ-вымогателей.

 

ОЦЕНКА RIA

Все учреждения должны исходить из предположения, что в случае атаки программы-вымогателя данные в их устройствах окажутся не только зашифрованы, но их также могут похитить и опубликовать, как показывает растущая тенденция. В связи с этим в борьбе с атаками программ-вымогателей недостаточно одной только архивации данных.

Суммы, которые требуют злоумышленники, превышают миллионы евро. Часто жертв побуждает платить страх перед штрафами, установленными Общим регламентом ЕС по защите данных (GDPR) на случай утечки персональных данных, находящихся в распоряжении организации. Злоумышленники и сами всё чаще ссылаются на штрафы за нарушения GDPR, чтобы вынудить жертву платить.


Рекомендации RIA, как защититься от атак программ-вымогателей, можно найти ЗДЕСЬ (на эстонском языке). Обязательно следует по-прежнему делать резервные копии, но больше невозможно защититься от атак программ-вымогателей только таким способом.

Последствие чрезвычайного положения: новые учетные записи, старые пароли

СИТУАЦИЯ

Людям, перешедшим на удаленную работу из дома и дистанционное обучение в связи с чрезвычайным положением, введённым для борьбы с пандемией COVID-19, потребовалось в срочном порядке создавать новые учетные записи на нескольких платформах. В редком случае нужно было использовать только отдельные новые услуги. И напротив, от родителей детей, посещающих несколько школьных ступеней, мы слышали о десятках новых учетных записей, которые необходимы для работы и учебы.
 
Практика показывает, что люди не уделяют достаточно внимания особенностям паролей при создании новых учетных записей, и в ход идут уже где-то использовавшиеся пароли (это подтверждает также исследование Google, проведенное в США в 2019 году, согласно которому 65% людей использует один и тот же пароль у своих нескольких или всех учетных записей). А это означает, что если произойдет утечка пароля через одну среду, то автоматически подвергаются опасности также все другие учетные записи, защищенные тем же самым паролем.

Масштабную утечку данных мы видим постоянно и везде, начиная от авиакомпаний и заканчивая детскими виртуальными игровыми комнатами. Вероятно, в результате утечки данных британской авиакомпании EasyJet, опубликованных в мае, подверглись угрозе персональные данные и банковская информация многих жителей Эстонии. Несмотря на то, что кражи данных происходят довольно часто, поведение людей в киберпространстве по-прежнему влечет за собой риск – одним из главных рисков здесь является повторное использование паролей на разных платформах.

ОЦЕНКА RIA

Мы подчеркиваем, что сильный пароль является важной частью кибергигиены, и рекомендуем всем уделить несколько минут и убедиться в надежности своих паролей. Если в чрезвычайном положении было приоритетным адаптироваться к ситуации и освоить разные интернет-среды, то теперь можно было бы спокойно обдумать свои дальнейшие интернет-привычки, привести в порядок учетные записи и обезопасить их использование.

KВ данном случае могут пригодиться рекомендации RIA по созданию безопасной учетной записи пользователя (на эстонском языке). Поскольку многие предприятия в контексте чрезвычайного положения ускорили процесс перевода бизнеса в интернет и продают услуги через свою веб-страницу, то будет уместно также пересмотреть памятку для поставщика услуги (на эстонском языке).

В других странах мира, и в Эстонии в частности, мы видим, что ставшие известными пароли и украденные данные часто реализуются не сразу, а только через несколько месяцев, иногда даже по прошествии более длительного периода. Таким образом, пользователи даже могут и не знать об утечке их пользовательских данных и об опасности, грозящей их персональным данным и учетным записям.

Следуя принципам кибергигиены, безусловно, безопаснее будет использовать для каждой учетной записи отдельный пароль, а в более важных средах с чувствительной информацией использовать дополнительно двухступенчатую аутентификацию. Для управления разными паролями можно использовать администратор паролей, то есть специальное программное обеспечение (существует много подобных программ, наиболее известные, например, KeePass, LastPass или 1Password).

Опасность атак с целью прерывания 

СИТУАЦИЯ

В апреле и начале мая мы видели больше чем обычно распределенных атак на отказ в обслуживании (DDoS) на эстонские сайты. В общей сложности произошло около десятка таких атак, продолжавшихся от нескольких минут до суток. Продолжительные атаки произошли в отношении двух финансовых предприятий, в результате чего работа сайтов обоих предприятий была нарушена в течение целого рабочего дня. Кратковременные атаки происходили в отношении сайтов транспортного сектора, поставщиков публичных и жизненно важных услуг.

И хотя после кратковременных атак удавалось быстро восстанавливать оказание услуг, тем не менее, например, получасовое прерывание услуг в широко используемой электронной учебной среде в условиях чрезвычайного положения причинило много неудобств почти десяти тысячам пользователей.

Несмотря на то, что различные атаки с целью прерывания услуг происходят постоянно, во втором квартале атаки удостоились нашего внимания по двум причинам. Во-первых, за короткое время (примерно за четыре недели) их произошло больше обычного, и поскольку это происходило в период чрезвычайного положения, когда люди использовали больше всевозможных э-услуг, то некоторые атаки имели более масштабное воздействие, чем обычно. Во-вторых, почерк некоторых атак был схожим: производили запросы HTTP Get, у атакующих была одна и та же или похожая программа-агент, а объектом атак были наиболее посещаемые и важные сайты в Эстонии.

ОЦЕНКА RIA

На основании данных случаев нельзя сделать достаточных выводов о цели атак или атакующем, но они показывают, что опасность атак с целью нарушения работы услуг следует по-прежнему воспринимать очень серьезно. Для проведения атак обычно используются ботнеты или сети скомпрометированных устройств, и в данной волне атак CERT-EE обнаружил, что в некоторых случаях использовались по всему миру (в т. ч. и в Эстонии) скомпрометированные маршрутизаторы Miktrotik. Очевидно, можно было бы избежать компрометации, если вовремя было бы обновлено программное обеспечение маршрутизатора – поэтому мы постоянно напоминаем о необходимости регулярного обновления программного обеспечения всех устройств, подключенных к интернету.

В целом в мире атаки с целью сбоя услуг показывают тенденцию роста, как по своей численности, так и по воздействию. Помимо известной до сих пор уязвимости в программном и аппаратном обеспечении постоянно выискиваются новые места, через которые можно провести эти атаки. Так например, в мае общественность узнала об открытии израильских ученых в связи с уязвимостью во всемирной услуге решения доменных имен (DNS), через которую на относительно малом числе устройств теоретически можно провести атаки с очень большим эффектом усиления. Читайте подробнее об оценке опасностей RIA здесь (PDF) (на эстонском языке).

 

 

ДЕЛА ИДУТ ХОРОШО:


Несмотря на то, что из-за чрезвычайного положения, продолжавшегося с середины марта по середину мая, пользователи и поставщики электронных услуг оказались под большим давлением, а международные киберпреступники усердно использовали тему COVID-19 в своих интересах, это не принесло в итоге для Эстонии более обширных или болезненных киберинцидентов, чем обычно. Нас не затронули направленные против медицинского сектора атаки, которые поразили отдельные страны Европы, а также мошеннические схемы по теме COVID-19, обусловившие большой материальный ущерб.

МОГЛО БЫ БЫТЬ ЛУЧШЕ:

30 июня завершилась поддержка программного обеспечения Magento для версий 1x, которое в Эстонии очень широко используется в
платформах сайтов и интернет-магазинов. По оценке CERT-EE, примерно три четверти интернет-магазинов Эстонии использует программное обеспечение Magento, и для продолжения безопасной торговли нужно перейти на новую версию 2x. CERT-EE отправил в мае поставщикам услуг соответствующее уведомление. Однако по состоянию на начало июля многие этого не сделали, в том числе интернет-магазины, поставляющие продукты питания и товары первой необходимости. Это, в свою очередь, означает, что могут подвергаться опасности данные кредитных карточек клиентов. Поскольку хакеры успешно использовали по всему миру раннее выявленные слабые места в безопасности Magento, то внимание на проблему обратили также Visa и Mastercard.
 

 

Инциденты 2020 года, зарегистрированные CERT-EE

 

В 2020 году сообщения о заражении Necurs и Avalanche составили 97% от всех инцидентов ботнетов и 43% в общем от всех инцидентов, зарегистрированных CERT-EE.

 

Меньше шума, яснее картина опасностей

Мы намереваемся существенно изменить отражение числа киберинцидентов в статистике. Начиная с июля этого года мы прекращаем отражение заражений ботнетами Avalanche и Necurs в списке инцидентов CERT-EE.  Ботнет Avalanche был остановлен в результате международной полицейской операции в декабре 2016 года (хотя заражения продолжились и позднее). Сеть Necurs компания Microsoft взяла под свой контроль в марте 2020 года. Таким образом, можно считать, что эти две сети больше не представляют активной опасности в киберпространстве.

Заражения этим двумя ботнетами составляли в 2017-2019 годах прибл. 95% от всех наших инцидентов заражения ботнетами, и поскольку мы получаем и отправляем эти сообщения иногда по несколько раз в сутки, то в целом они составляют прибл. 60% от всех инцидентов.

Это не означает, что мы больше не будем заниматься этими заражениями. Напротив, CERT-EE отправляет все чаще и все больше сообщений о заражениях ботнетами (и другими вредоносными программами). С лета 2019 года CERT-EE начал отправлять эстонским телекоммуникационным предприятиям, поставщикам услуг веб-хостинга и учреждениям, администрирующим свои сети, автоматизированные сообщения о различных уязвимых устройствах/настройках в их сетях. Автоматизация означает, что наши серверы получают читаемую машиной информацию из надежного источника, который создал для себя инфраструктуру для обнаружения уязвимости и заражений по всему миру.
Наши системы автоматически делятся информацией с собственниками сетей, действующими в интернете-пространстве Эстонии. Сейчас в CERT-EE поступает информация приблизительно о 3000 заражениях в сутки, которые влияют на более чем 700 серверов и компьютеров. Некоторые устройства были заражены несколькими вредоносными программами одновременно.

Чем больше подобных источников мы интегрируем в свои системы, тем лучшую картину уязвимостей и угроз мы можем предложить клиентам IP-пространства Эстонии. В то же время это означает также рост плотности информирования, где отдельное отражение в статистике не способствует прояснению картины опасностей. Например, с середины мая по середину июня мы получили сообщения и, следовательно, также проинформировали поставщиков услуг о 103 000 заражений. Однако анализируя цифры, видно, что порядка 86 000 из них были связаны только с тремя IP-адресами, и всего мы знаем о 1701 отдельном адресе с вредоносными программами. Многие повторяются, много заражений связаны с уже нейтрализованной инфраструктурой вредоносного программного обеспечения, поэтому эти цифры в статистике особо не вносят дополнительной ясности.

Изменение отражения заражений Avalanche и Necurs начинает первоначально бросаться в глаза резким снижением инцидентов (по разным оценкам на 50– 60%), однако в результате изменения наша статистика инцидентов яснее отображает реальную картину опасностей. Подведение итогов по ботнетам мы планирует проводить и в дальнейшем, но уже по-другому, показывая тенденции заражений за определенное время и сосредотачиваясь на их динамике.

 


 

More news on the same subject

04.08.2020

В июне киберпространство в Эстонии характеризовалось мошенничеством со счетами, скомпрометированными аккаунтами электронной почты и фишинговыми письмами

04.08.2020 – Ежемесячный обзор Департамента государственной инфосистемы (RIA) о происходящем в киберпространстве Эстонии фокусируется на мошенничестве с счетами, жертвой которого стала больница, отслеживании аккаунта электронной почты одного из спортивных союзов Эстонии и фишинговых письмах.