18 мая, 2020
Средний градус по кибер-больнице во времена биологического шухера.
Один из самых частых вопросов, который мне задают в эти непростые самоизоляционные времена – как изменилась кибер-эпидемиологическая обстановка? Как отразился на «среднем градусе по больнице» переход миллионов людей на удалённую работу? Какие новые трюки изобрели кибер-негодяи и где пользователям нужно «подкрутить» и «прокачать», чтобы не стало мучительно больно?
Рассказываю и показываю.
Разумеется, криминал всегда следует за наживой и приспосабливается к изменяющейся обстановке, чтобы максимизировать прибыль. Пользователь перевёл большинство своих операций (работа, досуг, общение, покупки и т.д.) на «удалёнку» — и к ней тотчас же присосалась жирная кибер-пиявка.
А именно. Очень многие вынужденно проводят эти весенние дни по домам-квартирам-дачам. Дела все поделаны, книжки перечитаны, умения новые освоены, все иностранные языки выучены, пресс и бицепс прокачан до невозможности. Так?
Да и нет – конечно же большинство (подавляющее или очень многие) значительную часть времени проводят в интернетах – гораздо больше, чем до того. Что это означает для общего фона кибер-злодейства и безопасности? Правильно! В сети стало больше потенциальных жертв, которые проводят в сети всё больше времени.
Плюс к тому, большинство все из тех, кто с городостью называет себя «офисным планктоном» (а таких в эпоху непрекращающихся промышленных революций становится всё больше и больше) – вынужденно работают из дома. Увы, не все компании могут обеспечить надёжную защиту своих сотрудников. Что означает, что у кибер-преступников появляются новые шансы хакнуть офисные сети через домашние компы-мобилы. Чем они, увы, и не ленятся пользоваться.
Эту живописную тенденцию мы наблюдаем прежде всего по резко возросшему количеству брутфорс-атак на серверы баз данных и RDP (технология удалённого подключения к компьютерам).
Атакующие пытаются подобрать пароль, используемый для соединения между сотрудниками и различными корпоративными IT-сервисами, с целью внедрения в офисную инфраструктуру (например, для запуска шифровальщика – по этой схеме активнее всего работают малварные семейства Crusis, Cryakl и Phobos). И если с начала года рост среднего ежедневного числа пользователей, подвергшихся таким атакам составил 23%, то в абсолютном измерении количество брутфорс-атак против RDP скакнуло многократно, причём картина идентична практически по всему миру.
Другая показательная цифра этой тенденции – увеличение количества web-угроз: рост за 4 месяца года на 25%. Причём здесь нельзя выделить «чемпионов» и «отстающих» — мы наблюдаем примерно равномерный рост по всем категориям. Из необычного хотелось бы отметить ускоренный рост (i) числа модификаций браузерных скриптов, которые внедряются на слабозащищённые сайты и отправляют злоумышленникам реквизиты платёжных карт, и (ii) атак cookie stuffing (скрытая установка на компьютеры cookie-файлов, не имеющих отношения к посещаемым сайтам).
Наконец, заметно, хотя и не сильно, выросло среднесуточное срабатывание файлового антивируса (8% на конец апреля). Здесь верхние строчки поставщиков угроз занимают вредоносные скрипты (.js, .vbs) и вредоносные ярлыки (с их помощью можно весело и вкусно быстро и просто создать малвару, например, обернув строку PowerShell в ярлык). И ещё хотелось бы выделить неожиданный звоночек из прошлого – вторая жизнь довольно старого полиморфного вируса (да!) Sality. Наши продукты ежедневно детектируют порядка 49тыс. уникальных файлов, зараженных этим зловредом.
Стоп! А в этом году уже было нечто подобное – в феврале мы зафиксировали реальные заражения другим вирусом — KBOT (да! — самым настоящим вирусом-паразитом, прикрепляющимся к исполняемым файлам). Впрочем, говорить о колокольном звоне и возвращении эпохи вирусов пока рано – доля этого вида малвары в общем потоке пока болтается очень близко к нулю.
А в целом рост количества новых зловредов в апреле составил 7,9%. Напомню, что всего мы ежедневно(!) отлавливаем и добавляем в базы более 340тыс. новых(!) вредоносных объектов. Ещё раз: ежедневно! 300+ тысяч! А в апреле почти на 10% больше.
Любопытно, что за первые две недели мая почти по всем перечисленным параметрам падение показателей: среднесуточное срабатывание файлового антивируса -7,2%, веб-антивируса -5,27%, количество новой малвары -31%. Слегка подросло только количество брутфорс-атак против серверов баз данных и RDP (+0,27%). То ли самоизоляция шашлыкам не помеха :), то ли люди отмечали майские праздники самоизоляцией от компьютеров и умнофонов, то ли кибер-негодяи их (праздники) тоже тоже отмечают? Ну, тем интереснее будет посмотреть на общие цифры за месяц.
Итого:
Кибер-эпидемиологическая обстановка развивается по ожидаемому сценарию и находится под полным контролем. Пользователям рекомендую последовать основному правилу цифровой безопасности — освежить основные правила кибер-гигиены :) Прежде всего – не тыкать куда слишком очень просят («мыть руки с мылом» после этого не поможет), не запускать что попало и откуда попало, накрыться VPN-ом, настроить двухфакторную аутентификацию и во время работы всегда надевать хорошую кибер-защиту.
А как сделать удалённую работу не только безопасной, но и эффективной – читайте на нашем блоге по тэгу.