 |
Отчет McAfee Enterprise Advanced Threat Research: 2 квартал 2021 года
Главное в отчете:
1. Атаки программ-вымогателей
В мае было множество новостей вокруг атаки группировки DarkSide на трубопроводную компанию Colonial Pipeline. MVISION Insights смогла на ранних этапах оперативно определить потенциальных жертв DarkSide в США. Ими оказались в основном юридические компании, промышленные предприятия и организации, занимающиеся оптовой торговлей, а также компании нефтяной, газовой и химической отрасли.
Группировки Ryuk, REvil, Babuk и Cuba активно использовали модели, предусматривающие активное привлечение сторонних лиц для организации скоординированных атак на корпоративную инфраструктуру компаний. Вскоре после атаки DarkSide банда REvil обратила на себя внимание общественности. Она использовала программу-вымогатель Sodinokibi в рамках атаки на Kaseya, глобального поставщика услуг ИТ-инфраструктуры. Во втором квартале 2021 года REvil и Sodinokibi возглавили список самых активных программ-вымогателей. На их долю пришлось 73% от всех случаев атак с применением программ-вымогателей.
После того, как атаки группировок DarkSide и REvil получили широкую огласку, они на время затаились, но в июле на их место пришла новая кибергруппировка. Жертвами BlackMatter стали пользователи из Италии, Индии, Люксембурга, Бельгии, США, Бразилии, Таиланда, Великобритании, Финляндии и Ирландии. Новая партнерская программа была организована по схеме Ransomware-as-a-Service («Программа-вымогатель как услуга») и включала в себя элементы вредоносных программ от DarkSide, REvil и Lockbit. Основываясь на сходстве кода бинарных файлов и сходстве их страницы с DarkSide, специалисты пришли к общему мнению, что программа-вымогатель от BlackMatter, скорее всего, создана на базе аналогичной программы от DarkSide, хотя участники BlackMatter это и отрицают.
Еще одна необычная программа-вымогатель из прошлого «объявилась» в середине 2021 года. Программа-вымогатель LockBit 2.0 — это обновленная версия LockBit 2020 года. В нее были добавлены новые функции, которые позволяют автоматически шифровать устройства во всем домене, переносить данные и получать доступ к системам по RDP, а также привлекать новых сообщников из числа сотрудников компании, на которую нацелились злоумышленники.
Программы-вымогатели семейства Hive были впервые замечены в июне 2021 года. Они затронули работу компаний в Индии, Бельгии, Италии, США, Турции, Таиланде, Мексике, Германии, Колумбии и Украине. Написанные на языке программирования Go, программы-вымогатели работали по схеме Ransomware-as-a-Service и были нацелены на медицинские учреждения и компании, обеспечивающие работу жизненно важных инфраструктур.
Во втором квартале 2021 года наиболее подверженным атакам программ-вымогателей оказался государственный сектор, за ним следуют рынок телекоммуникаций, энергетики и СМИ. Согласно нашим данным, государственный сектор является целью № 1 для киберпреступников, и при этом большинство из многочисленных атак оказываются безуспешными.
2. Тактики и техники из базы знаний MITRE ATT&CK, используемые в семействах программ-вымогателей во II квартале 2021 г.
Согласно классификации MITRE ATT&CK основными методами злоумышленников стали: злонамеренное шифрование данных, обнаружение файлов и каталогов, скрытие файлов или данных, внедрение процесса, раскрытие и декодирование файлов или информации, обнаружение процесса, блокировка восстановления системы, PowerShell, обнаружение системной информации и изменение реестра.
При этом, злонамеренное шифрование данных — наиболее часто выявляемая тактика атак во II кв. 2021 года.
3. Компания B. BRAUN: обнаружены уязвимости в популярном инфузионном насосе
Медицинская отрасль сталкивается с уникальными проблемами в области безопасности. Потенциальные атаки на медицинские центры могут представлять собой даже большую угрозу, чем общесистемная атака с использованием программ-вымогателей. Наша команда в сотрудничестве с компанией Culinda обнаружила ряд уязвимостей в инфузионном насосе Infusomat Space Large Pump и док-станции SpaceStation от компании B. Braun.
В результате нашего исследования мы обнаружили пять уязвимостей в медицинском оборудовании, о которых ранее не сообщалось:
1. CVE-2021-33886: использование удаленной командной строки (CVSS 7.7);
2. CVE-2021-33885: недостаточно строгая проверка подлинности данных (CVSS 9.7);
3. CVE-2021-33882: отсутствие аутентификации для критической функции (CVSS 8.2);
4. CVE-2021-33883: передача конфиденциальной информации открытым текстом (CVSS 7.1);
5. CVE-2021-33884: возможность загрузки файлов опасного типа (CVSS 5.8).
В совокупности эти уязвимости могут быть использованы злоумышленником на медицинском оборудовании для изменения конфигурации насоса в режиме ожидания, в результате чего при следующем использовании насоса пациенту будет введена неконтролируемая доза лекарства — и все это в условиях полного отсутствия аутентификации пользователя оборудования.
Вскоре после того, как мы сообщили B. Braun о своих результатах исследования, компания предприняла ответные меры и совместно с нашей командой разработала решение для устранения уязвимостей, которые мы описали в нашем отчете.
В результатах нашего исследования представлено общее описание и некоторые технические подробности наиболее критической цепочки поражения системы, а также рассмотрены уникальные проблемы, с которыми сталкивается медицинская отрасль.
4. Широкое распространение облачных угроз
Проведенное нами исследование в сфере облачных угроз показало, что во втором квартале 2021 года финансовые компании столкнулись с наибольшими проблемами именно в облачных средах. Среди наиболее распространенных облачных угроз во II квартале 2021 года: чрезмерное использование из непривычного места, инсайдерская утечка данных, злоупотребление привилегиями доступа, высокий риск утечки конфиденциальных данных, утечка привилегированного доступа, утечка данных типа "Land Expand", «подозрительный сверхчеловек» (несколько попыток входа в систему за короткое время одним и тем же пользователем с разных частей мира, что является подозрительной активностью), кража данных привилегированным пользователем.
Определение чрезмерного использования из непривычного места: пользователь получил доступ или загрузил очень большой объем данных за короткий промежуток времени.
На долю чрезмерного использования из непривычного места приходятся 62% всех зарегистрированных угроз.
5. Глобальные вертикальные рынки, подверженные кибератакам через облако, II кв. 2021 года
Инциденты облачной безопасности на рынке финансовых услуг составили 33% из 10 крупнейших известных инцидентов, за ними следуют здравоохранение и промышленность (8%).
Во втором квартале 2021 года 5 из 10 крупнейших инцидентов облачной безопасности, включая инциденты в США, Сингапуре, Китае, Франции, Канаде и Австралии, целью был рынок финансовых услуг.
Во II квартале 2021 года рынок финансовых услуг США стал главной целью облачных кибератак.
Атаки на сектор финансовых услуг составили 29% от общего числа инцидентов облачной безопасности среди 10 крупнейших отраслей экономики.
Больше всего облачных атак, осуществляемых по географическому принципу, было зарегистрировано в США, за которыми следуют Индия, Австралия, Канада и Бразилия.
Во втором квартале 2021 года больше всего сообщений об инцидентах поступило из Соединенных Штатов.
Во втором квартале в Европе наблюдался наибольший рост числа сообщений об инцидентах — 52%.
6. Секторы, подвергшиеся атакам во II квартале 2021 г.
Во втором квартале 2021 года стало поступать заметно больше сообщений об инцидентах безопасности. Чаще всего атакам подвергались различные отрасли промышленности.
Заметный рост наблюдался в государственном секторе (64%) и сфере развлечений (60%).
7. Методики атак: II квартал 2021 г.
Во втором квартале 2021 года в зарегистрированных инцидентах по безопасности чаще всего упоминалось про вредоносное ПО.
Самый высокий рост числа зарегистрированных инцидентов — 250%, показал спам, за период с I по II квартал 2021 года. за ним следуют вредоносные сценарии — 125% и вредоносное ПО — 47%.
Больше деталей можно найти здесь:
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-threats-oct-2021.pdf
https://www.mcafee.com/enterprise/en-us/lp/threats-reports/oct-2021.html
Контактное лицо: Виктория
Компания: McAfee Enterprise
Добавлен: 19:34, 25.10.2021
Количество просмотров: 428
Страна: Россия
| «ДиалогНаука» ведущий партнер Xello по итогам 2023 года, АО ДиалогНаука, 22:46, 04.04.2024, Россия164 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, по итогам 2023 года получила звание «Лидер продаж 2023» от компании Xello, разработчика первой российской платформы для предотвращения целевых атак с помощью технологии киберобмана. |
| «ДиалогНаука» участвует в форуме «Территория безопасности 2024: все pro ИБ», АО ДиалогНаука, 22:29, 28.03.2024, Россия118 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы для предотвращения целевых атак с помощью технологии киберобмана, совместно участвуют в ежегодном форуме «Территория безопасности 2024: все pro ИБ», который пройдет 4 апреля 2024 года в конференц-зале гостиницы HYATT REGENCY MOSCOW PETROVSKY PARK. |
| «ДиалогНаука» примет участие в конференции «Информационная безопасность АСУ ТП КВО», АО ДиалогНаука, 22:17, 11.03.2024, Россия625 |
| 11.03.2024, Москва
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в двенадцатой конференции «Информационная безопасность АСУ ТП КВО», которая пройдет с 13 по 14 марта 2024 года в центре «Планета КВН», Шереметьевская улица, дом 2. «ДиалогНаука» представит экспозицию, посвященную решениям «Лаборатории Касперского» и собственным услугам в области информационной безопасности. |
| «ДиалогНаука» – Platinum Partner «Лаборатории Касперского» по итогам 2023 года, АО ДиалогНаука, 18:58, 02.03.2024, Россия327 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, по итогам 2023 года получила наивысший партнерский статус Platinum Partner от «Лаборатории Касперского». Получение статуса свидетельствует о высоком уровне технических компетенций в области внедрения решений «Лаборатории Касперского». |
| «ДиалогНаука» расширила продуктовый портфель решением компании «Метаскан», АО ДиалогНаука, 23:02, 07.11.2023, Россия303 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания «Mетаскан», российский разработчик технологий в области информационной безопасности, заключили партнерское соглашение. В соответствии с достигнутыми договоренностями АО «ДиалогНаука» будет использовать решение «Метаскан» в рамках комплексных проектов для корпоративных заказчиков. |
| «ДиалогНаука» участвует в SOC-Forum 2023, АО "ДиалогНаука", 21:47, 01.11.2023, Россия370 |
| Компания «ДиалогНаука», участвует в IX ежегодном SOC-Форуме, посвященном практической кибербезопасности в современных реалиях. Мероприятие пройдет 14 и 15 ноября 2023 года в московском Центре Международной торговли по адресу Краснопресненская набережная, 12. «ДиалогНаука» представит экспозицию, посвященную решениям «Лаборатории Касперского» и собственным услугам в области информационной безопасности. |
| «ДиалогНаука» участвует в конференции «Информационная безопасность в некредитных финансовых организациях, требования регулятора, анализ решений ИБ для НФО, нормативная база», АО ДиалогНаука, 21:11, 10.07.2023, Россия415 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, 17 июля 2023 года участвует в ежегодной конференции «Информационная безопасность в некредитных финансовых организациях, требования регулятора, анализ решений ИБ для НФО, нормативная база», которая пройдет в AZIMUT Hotel Olympic Moscow. |
| «ДиалогНаука» совместно с Xello участвует в XVI Межотраслевом CISO-Forum 2023, АО ДиалогНаука, 07:52, 11.04.2023, Россия532 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы для предотвращения целевых атак с помощью технологии киберобмана, 14 апреля 2023 года совместно участвуют в XVI Межотраслевом Форуме «CISO-Forum 2023: МОБИЛИЗУЙСЯ!», который пройдет в Холидей Инн Москва Сокольники. |
|
|
