Аналитики «Лаборатории Касперского» рассказали об угрозах, с которыми сталкивались системы Интернета вещей в первом полугодии 2019-го. Среди обнаруженных тенденций эксперты выделили растущее количество повторных атак, что говорит о все большем упорстве злоумышленников.

Специалисты построили работу на данных, полученных с более чем 50 ханипотов по всему миру — специально созданных уязвимых целей, которые собирают информацию об атакующих их зловредах. Эксперты использовали хосты с отдельными открытыми портами и многопортовые ловушки, обеспечившие сбор комплексной статистики

В ходе исследования ханипоты Kaspersky регистрировали в среднем 20 тыс. попыток заражения каждые 15 минут. Основная часть инцидентов пришлась на службы TCP, через которые преступники пытались получить доступ к системам удаленного администрирования на базе Telnet и RDP, базам данных и веб-серверам. Всего же в первой половине 2019 года Telnet-ханипоты зафиксировали более 105 млн атак с 276 тыс. уникальных IP-адресов.Распределение атакованных систем

 

Половина атак шла с IP-адресов в Китае (30%) и Бразилии (19%). Эти же страны занимали верхние строчки в прошлом году, но тогда на первом месте оказалась Бразилия. Сегодня в первую пятерку по вредоносной активности также входят Египет (12%), Россия (11%) и США (8%).

 

«Мы видим устойчивую тенденцию по снижению количества [вредоносных] IP-адресов по сравнению с прошлым годом, но при этом число атак увеличивается, — отмечают исследователи. — Ежемесячно десятки тысяч устройств пытаются распространять вредоносное программное обеспечение, используя как перебор паролей, так и различные уязвимости».

Самое распространенное сочетание учетных данных, которое применяется при атаках методом подбора — это support/support. Далее следуют admin/admin, default/default и root/vizxv. Аналитики Kaspersky обращают внимание на последнюю пару — эти логин и пароль используются в IP-камерах крупных китайских производителей. Среди других неожиданных целей эксперты выделили модель GPON-маршрутизаторов со вшитым системным паролем.

В случае успешного взлома киберпреступники чаще всего пытаются заразить устройство зловредом из семейства Mirai. На такие программы пришлось более 30 тыс. обнаруженных образцов в 2018 году и около 25 тыс. в первой половине 2019-го. Эксперты объясняют популярность Mirai тем, что этот бот использует эксплойты. Кроме того, его исходный код еще в 2016 году появился в общем доступе.

Среди других распространенных семейств специалисты называют давно известные Hajime, NyaDrop и Gafgyt (также известен как Bashlite).

 

Эксперты Kaspersky призывают администраторов IoT-систем следить за тенденциями вредоносной активности, поскольку эта информация играет решающую роль в обеспечении безопасности. Использование ханипотов — важная часть работы по мониторингу и анализу угроз, хотя такие средства сами по себе могут представлять опасность для корпоративной инфраструктуры.

Чтобы атакованная система не стала источником рисков, техническим специалистам следует планировать сетевую архитектуру при развертывании ловушек, четко определять, какую активность необходимо отслеживать, и как будет происходить сбор и обработка данных.

Ранее исследователи «Лаборатории Касперского» рассказали об особенностях кибератак на умные здания в 2019 году. В этот период аналитики зафиксировали нежелательную активность в 40% систем инженерной автоматизации, причем основная часть инцидентов пришлась на зловреды, которые атакуют традиционную корпоративную инфраструктуру.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры