G DATA. Аналіз загроз 2020: кібератаки щосекунди

Пандемія все ще високий сезон для злочинців, оскільки вони використовують необізнаність людей для здійснення своїх атак. Згідно з останнім аналізом загроз від G DATA CyberDefense, кількість зросла на 85 відсотків у другій половині року. Минулого року кіберзлочинці щохвилини випускали 76 нових версій шкідливих програм. Вразливі місця безпеки, такі як Shitrix та Sunburst, також добре служили зловмисникам в їх діяльністі.

Загроза від кібератак продовжувала значно зростати протягом останнього року. Поточний аналіз загроз від G DATA CyberDefense показує, що кількість спроб запобігання атакам зросла більш ніж на 85 відсотків протягом шести місяців, якщо порівняти першу половину 2020 року з другою. Хоча кількість запобіганих атак майже подвоїлася з другого по третій квартал, у четвертому кварталі кількість атак трохи зменшилась.

Ми вважаємо, що численні компанії стали жертвами нападу минулого року через поспішний перехід на роботу додому, – але цього ще не помітили. Кіберзлочинці продовжують нещадно використовувати будь-які слабкі місця в ІТ-безпеці. Критичні прогалини в безпеці, відсутність оновлень або недбалі співробітники, як правило, є причиною успішної атаки. І нинішня незахищеність людей значно прискорює цей розвиток
Тім Берггофф, Спеціаліст з безпеки в G DATA CyberDefense

Старе шкідливе програмне забезпечення в новому вигляді

Вражає те, що кіберзлочинці покладаються на перевірені шкідливі програми, деякі з яких використовуються вже кілька років, але постійно переробляються. Експертами з кіберзахисту в G DATA було виявлено понад 16,1 мільйона різних зразків шкідливого програмного забезпечення. Це збільшення на 228,6 відсотка порівняно з попереднім роком. У середньому щодня в Німеччині ІТ-системам загрожує 44 135 нових зразків зловмисного програмного забезпечення. Це означає, що кіберзлочинці щохвилини видавали 76 нових версій шкідливих програм.

Вперше Emotet, універсальна зброя кіберзлочинів, випереджає не тільки з точки зору небезпеки, але і за кількістю розподілених зразків, загалом у 888 793 різних версіях у 2020 році. За весь попередній рік було лише 70 833 зразків – це становить 1154,8 відсотка. У першій половині року Emotet майже не працював, тож лише 27 804 нові зразки з’явились у цей період. Це означає, що у другій половині року з’явилося понад 860 000 версій. Щоб додати відчуття масштабу – злочинці випускали три нові варіанти щохвилини. Emotet діє як відкривач дверей та забезпечує кіберзлочинцям доступ до ІТ-мереж. Шкідливе програмне забезпечення автоматично завантажує інше шкідливе програмне забезпечення, таке як Trickbot та Ryuk, щоб шпигувати за іншими даними доступу та шифрувати систему.

Огляд першої десятки шкідливих програм

Позиція Ім’я Варіанти Тип
1 (6) Emotet 888,793 Поширення зловмисного програмного забезпечення
2 (-) QBot 98,800 Трояни віддаленого доступу
3 (-) Urelas 64,136 Завантажувач
4 (2) njRAT 63,969 Трояни віддаленого доступу
5 (10) NanoCore 52,736 Трояни віддаленого доступу
6 (-) Trickbot 50,043 Поширення зловмисного програмного забезпечення
7 (-) AgentTesla 47,739 Викрадач інформації
8 (-) RemcosRAT 43,902 Трояни віддаленого доступу
9 (-) Dridex 43,563 Поширення зловмисного програмного забезпечення
10 (7) Shifu 36,892 Банківські трояни

Розвиток кіберзлочинності є дуже динамічним. Це підтверджується тим фактом, що шість із десяти найбільш часто виявлених шкідливих програм раніше не потрапляли до цього списку. Поза Emotet – QBot та Urelas. В даний час Qbot використовує шаблон атаки, який раніше був відомий лише від Emotet. Зловмисники надсилають фальшиву відповідь на справжній запит електронною поштою. Для одержувача цей підроблений електронний лист дуже важко відрізнити від справжнього, тому жертви відкривають вкладення електронного листа або клацають на посилання. Спочатку банківський троян, він має додаткові черв’ячні елементи та викрадає облікові дані користувачів. Таким чином, Qbot – ще одна багатоцільова зброя для кіберзлочинців. На третьому місці в топ-10 шкідливих програм знаходиться завантажувач Urelas,

Король помер – хай живе … ну хто?

Наприкінці січня відбувся міжнародно скоординована атака проти операторів Emotet. Велика частина інфраструктури, що стоїть за Emotet, була виведена з ладу – частина цього було зроблено за технічної підтримки G DATA. Це, ймовірно, залишить прогалину на підпільному ринку, принаймні в середньостроковій перспективі, яку зараз намагаються заповнити інші групи кіберзлочинців.

Прогалини з серйозними наслідками

Але не лише добре замасковане шкідливе програмне забезпечення відкриває двері для приватних комп’ютерів або корпоративних мереж для зловмисників. Як і щороку, численні діри в безпеці в додатках та операційних системах також полегшують зловмисникам проникнення в ІТ-системи. Тут у якості прикладів згадуються два найбільших – Shitrix та Sunburst. Shitrix була одним з найнебезпечніших вразливих місць за останні кілька років. Це дозволило віддалено виконувати довільні програми в Citrix ADC, і тому класифікується як надзвичайно важливе. Тільки в Німеччині більше 5000 компаній зазнали ризику, включаючи операторів критично важкої інфраструктури, таких як лікарні, постачальники енергії та державні органи.

Наприкінці року державні установи та приватні компанії виявили, що їх мережі були скомпрометовані. Походження цього компромісу лежало в програмному забезпеченні для управління мережами від виробника мережевого устаткування Solarwinds. Протягом кількох місяців злочинці продовжували збирати нові окремі компоненти в шпигунське програмне забезпечення, яке було тісно інтегровано в процес розробки системи управління мережею – і все це ніколи не було помічено. Заражені оновлення програмного забезпечення не викликали жодних сумнівів і були встановлені в багатьох компаніях по всьому світу. Напади в основному були зосереджені в США, але в Німеччині були також вразливі системи.

Боротьба з кіберзлочинцями вимагає від компаній та приватних користувачів рішучих дій », – говорить Тім Берггофф. «Це пов’язано з тим, що кіберзлочинці також користуються перевагами нинішнього поштовху до оцифрування для своїх цілей та активізують свої атаки. Роблячи це, вони також починають покладатися на автоматизовані атаки для проникнення в мережі. 
Тім Берггофф, Спеціаліст з безпеки в G DATA CyberDefense

Компанії повинні бути готовими до все більш складних атак, оскільки, використовуючи шкідливе програмне забезпечення як послугу, злочинці можуть здійснювати складні атаки, від яких складно відбитися. Тут потрібен не лише сучасний захист кінцевих точок, а й уважні співробітники.