 |
Отчет McAfee Enterprise Advanced Threat Research: 2 квартал 2021 года
Главное в отчете:
1. Атаки программ-вымогателей
В мае было множество новостей вокруг атаки группировки DarkSide на трубопроводную компанию Colonial Pipeline. MVISION Insights смогла на ранних этапах оперативно определить потенциальных жертв DarkSide в США. Ими оказались в основном юридические компании, промышленные предприятия и организации, занимающиеся оптовой торговлей, а также компании нефтяной, газовой и химической отрасли.
Группировки Ryuk, REvil, Babuk и Cuba активно использовали модели, предусматривающие активное привлечение сторонних лиц для организации скоординированных атак на корпоративную инфраструктуру компаний. Вскоре после атаки DarkSide банда REvil обратила на себя внимание общественности. Она использовала программу-вымогатель Sodinokibi в рамках атаки на Kaseya, глобального поставщика услуг ИТ-инфраструктуры. Во втором квартале 2021 года REvil и Sodinokibi возглавили список самых активных программ-вымогателей. На их долю пришлось 73% от всех случаев атак с применением программ-вымогателей.
После того, как атаки группировок DarkSide и REvil получили широкую огласку, они на время затаились, но в июле на их место пришла новая кибергруппировка. Жертвами BlackMatter стали пользователи из Италии, Индии, Люксембурга, Бельгии, США, Бразилии, Таиланда, Великобритании, Финляндии и Ирландии. Новая партнерская программа была организована по схеме Ransomware-as-a-Service («Программа-вымогатель как услуга») и включала в себя элементы вредоносных программ от DarkSide, REvil и Lockbit. Основываясь на сходстве кода бинарных файлов и сходстве их страницы с DarkSide, специалисты пришли к общему мнению, что программа-вымогатель от BlackMatter, скорее всего, создана на базе аналогичной программы от DarkSide, хотя участники BlackMatter это и отрицают.
Еще одна необычная программа-вымогатель из прошлого «объявилась» в середине 2021 года. Программа-вымогатель LockBit 2.0 — это обновленная версия LockBit 2020 года. В нее были добавлены новые функции, которые позволяют автоматически шифровать устройства во всем домене, переносить данные и получать доступ к системам по RDP, а также привлекать новых сообщников из числа сотрудников компании, на которую нацелились злоумышленники.
Программы-вымогатели семейства Hive были впервые замечены в июне 2021 года. Они затронули работу компаний в Индии, Бельгии, Италии, США, Турции, Таиланде, Мексике, Германии, Колумбии и Украине. Написанные на языке программирования Go, программы-вымогатели работали по схеме Ransomware-as-a-Service и были нацелены на медицинские учреждения и компании, обеспечивающие работу жизненно важных инфраструктур.
Во втором квартале 2021 года наиболее подверженным атакам программ-вымогателей оказался государственный сектор, за ним следуют рынок телекоммуникаций, энергетики и СМИ. Согласно нашим данным, государственный сектор является целью № 1 для киберпреступников, и при этом большинство из многочисленных атак оказываются безуспешными.
2. Тактики и техники из базы знаний MITRE ATT&CK, используемые в семействах программ-вымогателей во II квартале 2021 г.
Согласно классификации MITRE ATT&CK основными методами злоумышленников стали: злонамеренное шифрование данных, обнаружение файлов и каталогов, скрытие файлов или данных, внедрение процесса, раскрытие и декодирование файлов или информации, обнаружение процесса, блокировка восстановления системы, PowerShell, обнаружение системной информации и изменение реестра.
При этом, злонамеренное шифрование данных — наиболее часто выявляемая тактика атак во II кв. 2021 года.
3. Компания B. BRAUN: обнаружены уязвимости в популярном инфузионном насосе
Медицинская отрасль сталкивается с уникальными проблемами в области безопасности. Потенциальные атаки на медицинские центры могут представлять собой даже большую угрозу, чем общесистемная атака с использованием программ-вымогателей. Наша команда в сотрудничестве с компанией Culinda обнаружила ряд уязвимостей в инфузионном насосе Infusomat Space Large Pump и док-станции SpaceStation от компании B. Braun.
В результате нашего исследования мы обнаружили пять уязвимостей в медицинском оборудовании, о которых ранее не сообщалось:
1. CVE-2021-33886: использование удаленной командной строки (CVSS 7.7);
2. CVE-2021-33885: недостаточно строгая проверка подлинности данных (CVSS 9.7);
3. CVE-2021-33882: отсутствие аутентификации для критической функции (CVSS 8.2);
4. CVE-2021-33883: передача конфиденциальной информации открытым текстом (CVSS 7.1);
5. CVE-2021-33884: возможность загрузки файлов опасного типа (CVSS 5.8).
В совокупности эти уязвимости могут быть использованы злоумышленником на медицинском оборудовании для изменения конфигурации насоса в режиме ожидания, в результате чего при следующем использовании насоса пациенту будет введена неконтролируемая доза лекарства — и все это в условиях полного отсутствия аутентификации пользователя оборудования.
Вскоре после того, как мы сообщили B. Braun о своих результатах исследования, компания предприняла ответные меры и совместно с нашей командой разработала решение для устранения уязвимостей, которые мы описали в нашем отчете.
В результатах нашего исследования представлено общее описание и некоторые технические подробности наиболее критической цепочки поражения системы, а также рассмотрены уникальные проблемы, с которыми сталкивается медицинская отрасль.
4. Широкое распространение облачных угроз
Проведенное нами исследование в сфере облачных угроз показало, что во втором квартале 2021 года финансовые компании столкнулись с наибольшими проблемами именно в облачных средах. Среди наиболее распространенных облачных угроз во II квартале 2021 года: чрезмерное использование из непривычного места, инсайдерская утечка данных, злоупотребление привилегиями доступа, высокий риск утечки конфиденциальных данных, утечка привилегированного доступа, утечка данных типа "Land Expand", «подозрительный сверхчеловек» (несколько попыток входа в систему за короткое время одним и тем же пользователем с разных частей мира, что является подозрительной активностью), кража данных привилегированным пользователем.
Определение чрезмерного использования из непривычного места: пользователь получил доступ или загрузил очень большой объем данных за короткий промежуток времени.
На долю чрезмерного использования из непривычного места приходятся 62% всех зарегистрированных угроз.
5. Глобальные вертикальные рынки, подверженные кибератакам через облако, II кв. 2021 года
Инциденты облачной безопасности на рынке финансовых услуг составили 33% из 10 крупнейших известных инцидентов, за ними следуют здравоохранение и промышленность (8%).
Во втором квартале 2021 года 5 из 10 крупнейших инцидентов облачной безопасности, включая инциденты в США, Сингапуре, Китае, Франции, Канаде и Австралии, целью был рынок финансовых услуг.
Во II квартале 2021 года рынок финансовых услуг США стал главной целью облачных кибератак.
Атаки на сектор финансовых услуг составили 29% от общего числа инцидентов облачной безопасности среди 10 крупнейших отраслей экономики.
Больше всего облачных атак, осуществляемых по географическому принципу, было зарегистрировано в США, за которыми следуют Индия, Австралия, Канада и Бразилия.
Во втором квартале 2021 года больше всего сообщений об инцидентах поступило из Соединенных Штатов.
Во втором квартале в Европе наблюдался наибольший рост числа сообщений об инцидентах — 52%.
6. Секторы, подвергшиеся атакам во II квартале 2021 г.
Во втором квартале 2021 года стало поступать заметно больше сообщений об инцидентах безопасности. Чаще всего атакам подвергались различные отрасли промышленности.
Заметный рост наблюдался в государственном секторе (64%) и сфере развлечений (60%).
7. Методики атак: II квартал 2021 г.
Во втором квартале 2021 года в зарегистрированных инцидентах по безопасности чаще всего упоминалось про вредоносное ПО.
Самый высокий рост числа зарегистрированных инцидентов — 250%, показал спам, за период с I по II квартал 2021 года. за ним следуют вредоносные сценарии — 125% и вредоносное ПО — 47%.
Больше деталей можно найти здесь:
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-threats-oct-2021.pdf
https://www.mcafee.com/enterprise/en-us/lp/threats-reports/oct-2021.html
Контактное лицо: Виктория
Компания: McAfee Enterprise
Добавлен: 19:34, 25.10.2021
Количество просмотров: 455
Страна: Россия
| «ДиалогНаука» подтвердила свой статус Approved Scanning Vendor, АО ДиалогНаука, 04:06, 17.11.2024, Россия69 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, подтвердила свой статус Approved Scanning Vendor (ASV) по стандарту безопасности данных в индустрии платежных карт PCI DSS. Интегратор успешно выполнил все требования программы PCI Scanning Vendor Program. |
| «ДиалогНаука» включила в продуктовый портфель ИБ-решения вендора НОТА, АО ДиалогНаука, 04:21, 11.11.2024, Россия540 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и НОТА (Холдинг Т1) мультипродуктовый вендор отечественного ПО, заключили соглашение о сотрудничестве. Одним из основных направлений партнерства станет поставка и использование решения «НОТА КУПОЛ. Управление» в рамках комплексных проектов для корпоративных заказчиков интегратора. |
| «ДиалогНаука» – партнер SOC Forum 2024, ДиалогНаука, 18:10, 26.10.2024, Россия139 |
| Компания «ДиалогНаука», примет участие в десятом, юбилейном мероприятии SOC Forum, посвященном практической кибербезопасности в современных реалиях. SOC Forum пройдет с 6 по 8 ноября 2024 года в московском Центре Международной торговли по адресу Краснопресненская набережная, 12. «ДиалогНаука» представит экспозицию, посвященную решениям «Лаборатории Касперского» и собственным услугам в области информационной безопасности. |
| «ДиалогНаука» – партнер третьей межотраслевой конференции АБИСС, ДиалогНаука, 22:23, 25.10.2024, Россия115 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в ежегодной межотраслевой конференции АБИСС по вопросам регуляторики в сфере информационной безопасности. Конференция пройдет 22 октября 2024 года в Москве, в отеле Soluxe Hotel Moscow, расположенном по адресу: улица Вильгельма Пика, дом 16. |
| «ДиалогНаука» примет участие в конференции SOC Tech, АО ДиалогНаука, 04:37, 14.10.2024, Россия132 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в конференции «SOC Tech», которая состоится 15 октября 2024 года в Москве в Loft Hall на Автозаводской. |
| «ДиалогНаука» и «Цифровые решения» заключили соглашение о сотрудничестве, АО ДиалогНаука, 05:43, 06.10.2024, Россия807 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания «Цифровые решения», разработчик и производитель сетевого оборудования для информационной безопасности, заключили договор о партнерстве. Основная задача сотрудничества – предоставить российскому бизнесу эффективные и надежные инструменты для обеспечения безопасности информационных систем. |
| «ДиалогНаука» включила в продуктовый портфель решение компании Makves, АО ДиалогНаука, 00:36, 08.05.2024, Россия349 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Makves (входит в группу компаний «Гарда»), российский разработчик программного обеспечения, подписали договор о сотрудничестве. В соответствии с достигнутыми договоренностями «ДиалогНаука» будет использовать решение компании Makves в рамках комплексных проектов для корпоративных заказчиков. |
| «ДиалогНаука» ведущий партнер Xello по итогам 2023 года, АО ДиалогНаука, 22:46, 04.04.2024, Россия433 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, по итогам 2023 года получила звание «Лидер продаж 2023» от компании Xello, разработчика первой российской платформы для предотвращения целевых атак с помощью технологии киберобмана. |
| «ДиалогНаука» участвует в форуме «Территория безопасности 2024: все pro ИБ», АО ДиалогНаука, 22:29, 28.03.2024, Россия375 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы для предотвращения целевых атак с помощью технологии киберобмана, совместно участвуют в ежегодном форуме «Территория безопасности 2024: все pro ИБ», который пройдет 4 апреля 2024 года в конференц-зале гостиницы HYATT REGENCY MOSCOW PETROVSKY PARK. |
|
|
