Киберпреступники все больше автоматизируют свои атаки, лишая жертв времени на защитные меры. К такому выводу пришли эксперты Alert Logic в своем докладе о технологиях обнаружения угроз.

Исследование охватывает период с апреля 2017 года по июль 2018-го. Аналитики изучили более 254 тыс. инцидентов ИБ и 7,2 млн связанных с ними событий. В результате они выяснили, что сегодня кибератака разворачивается в три этапа, в то время как традиционная модель предполагала последовательное прохождение семи ступеней.

Так, сначала злоумышленники проводили разведку — собирали учетные данные, выясняли внутреннюю структуру компании-жертвы. Эта информация позволяла им подобрать необходимые инструменты, комбинируя имеющиеся эксплойты с обнаруженными уязвимостями.

Далее преступники проникали в инфраструктуру, размещали в ней зловред и устанавливали удаленный контроль. Последним шагом было применение полезной нагрузки — шифрование данных, кража ценной информации, перехват денежных средств.

Эта схема предоставляла специалистам по ИБ множество возможностей для реагирования. Они могли обнаружить вредоносную активность на каждом из подготовительных этапов и заблокировать ее. Например, современные системы мониторинга позволяют отследить скрытое сканирование сетевых портов, а продвинутый антивирус вовремя сообщит о подозрительном файле на одном из участков инфраструктуры, не позволяя ему запуститься.

Теперь же преступники научились автоматизировать первые пять этапов кибератаки — от разведки до установки вредоносного ПО. В результате поиск жертв, определение уязвимых мест, проникновение и закрепление в IT-инфраструктуре происходит гораздо быстрее, а злоумышленники могут максимально расширить охват без увеличения затраченных ресурсов.

Эксперты назвали этот метод spray-and-pray («стреляй и молись»). По их словам, такой подход сегодня применяется в 88% вредоносных кампаний. Авторы отчета приводят в пример атаки криптомайнеров, которые получили большое распространение в связи с интересом к биткойну в 2016–2017 годах. С нежелательной добычей криптовалют оказались связаны почти 90% рассмотренных в рамках исследования инцидентов.

Аналитики связывают популярность криптоджекинга с тем, что такие преступления могут показаться более «этичными» по сравнению, например, с шантажом через шифрование ценных данных. Кроме того, работать с криптомайнером проще, чем со многими другими зловредами, — это привлекает неискушенных преступников, желающих быстрых денег.

В то же время, предупреждают эксперты, если жертва оказалась уязвима перед нелегальным майнером, преступники могут заразить ее и другим зловредным ПО. Поэтому изучение новой модели кибератак на примере этих угроз позволит компаниям отработать защиту против более изощренных методов нападения.

Исследователи заключают, что в нынешних условиях для организаций оказываются особенно важными «вопросы базовой гигиены». Это означает, что компания должна регулярно отслеживать и закрывать уязвимости в своей инфраструктуре, не оставляя преступникам шансов использовать их.

Ранее эксперты сообщили, что в среднем преступники опережают ИБ-специалистов на семь дней. Именно столько требуется экспертам, чтобы закрыть уязвимость после ее обнаружения.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Уязвимости, Хакеры