20 января на слайдхостинге SlideShare был опубликован «Годовой отчет Cisco по информационной безопасности 2016». В Cisco за истекший год провели немало исследований, поэтому материал занимает целых 86 страниц.

 

Основной вывод, сформулированный в документе, довольно прост: в 2015 году киберпреступники изрядно осмелели и все активнее внедряются в веб-ресурсы. Они потребляют мощности серверов, крадут данные и вымогают деньги у своих жертв в Интернете.

 

 

Сокращение XSS и рост CSRF

 

Согласно данным Cisco, с 2014 по 2015 год категория межсайтового скриптинга (XSS) сократилась на 47 %, а вот уязвимостей подделки межсайтовых запросов (CSRF) стало больше.

 

 

 

Adobe Flash все еще нужна взломщикам

 

Платформа Adobe Flash на протяжении нескольких лет была особенно популярным вектором угроз для преступников. В 2015 году хорошей новостью стало то, что разработчики продуктов, где эти уязвимости часто встречаются (например, веб-браузеров) признали существование этого недостатка и теперь принимают меры по сокращению доступных киберпреступникам возможностей. Многие веб-браузеры блокируют Flash или запускают его в «песочнице», чтобы защитить пользователей.

 

 

 

Уязвимости в эксплойт-паках

 

В отчете эксперты Cisco перечисляют уязвимости, представляющие значительный риск, указывая, входит ли уязвимость в комплект эксплойтов, который продается (см. строку «FlashEK»), или же для нее существуют общедоступные эксплойты (см. строку «Общедоступные эксплойты»). Уязвимости, для которых имеются работающие эксплойты, наиболее приоритетны при установке исправлений.

Например, такая Flash-уязвимость, как CVE-2015-0310, используется пока только в Angler, а CVE-2015-0313 есть почти во всех эксплойт-паках. В отчете Cisco упомянуты такие наборы эксплойтов, как Angler, Hanjuan, NullHole, Sweet Orange, Fiesta, Nuclear, Rig, Neutrino, Nuclear Pack, Magnitude.

Шифрование не обеспечивает полной безопасности

 

Аналитики Cisco отмечают, что организации достигли определенных успехов в шифровании информации при передаче между узлами, но хранимые данные нередко остаются незащищенными. В большинстве значимых нарушений безопасности за последние несколько лет злоумышленники воспользовались незашифрованными данными, хранящимися в центре обработки данных и других внутренних системах. Под таким прикрытием хакеры добираются до ценных сведений без особых проблем.

 

Специалистам по информационной безопасности рекомендовано отслеживать маршруты веб-трафика, чтобы исключить поступление HTTPS-запросов из подозрительных источников или их утечку по таким направлениям. Кроме того, в Cisco советуют не искать зашифрованный трафик по заранее определенному набору портов: вредоносное ПО, отмечают экперты, наверняка будет отправлять зашифрованные данные по различным портам.

 

 

Промышленный взлом сайтов на WordPress

 

Авторы некоторых вариантов программ-вымогателей, а также другие разработчики, использующие уязвимости, теперь переносят трафик на взломанные веб-сайты с WordPress. Это усложняет обнаружение и дает возможность воспользоваться пространством на сервере. Интернет полон заброшенных сайтов, созданных с помощью WordPress, за информационной безопасностью которых никто не следит. Такие сайты нередко взламывают и используют для осуществления атак.

 

С февраля по октябрь 2015 года число доменов WordPress, используемых преступниками, выросло на 221 %.

 

 

Как отмечают в Cisco, взломанные сайты WordPress часто работали не на последней версии WordPress, отличались слабыми паролями администратора и использовали подключаемые модули без исправлений информационной безопасности.

 

Аналитики Cisco определили некоторые типы программного обеспечения и файлов, чаще всего размещаемые на взломанных сайтах WordPress:

• исполняемые файлы, представляющие собой информационное наполнение для атак с использованием комплектов эксплойтов,
• файлы конфигурации для вредоносного ПО, например Dridex и Dyre,
• прокси-код, передающий данные для сокрытия инфраструктуры управления и контроля,
• фишинговые веб-страницы для сбора имен пользователей и паролей,
•  сценарии HTML, перенаправляющие трафик на серверы,
• комплекты эксплойтов.

 

 

Кроме того, исследователи выявили множество семейств вредоносного ПО, использующих взломанные сайты WordPress для создания следующих типов вредоносной инфраструктуры:

• ПО для кражи информации Dridex,
•  ПО для кражи паролей Pony,
• программы-вымогатели TeslaCrypt,
• программы-вымогатели Cryptowall 3.0,
• программы-вымогатели TorrentLocker,
• ботнет для рассылки спама Andromeda,
• троянские дропперы Bartallex,
• ПО для кражи информации Necurs,
• фальшивые страницы входа.

 

Модель взлома сайтов WordPress. Все начинается с просмотра баннерной рекламы на Flash.

Межсетевой экран стал самым популярным средством защиты

 

Межсетевой экран в 2015 году — это самый распространенный инструмент защиты от угроз безопасности. Однако в 2014 году межсетевые экраны относились к системам предотвращения вторжений, поэтому статистика по ним отсутствует.

 

 

 

Методы веб-атак

 

Далее показаны различные типы вредоносного ПО, используемого злоумышленниками для получения доступа к корпоративным сетям. Чаще всего встречается следующее вредоносное ПО: рекламное, шпионское, программы нежелательного перенаправления, эксплойты, использующие iFrame, и программы фишинга.

 

 

 

Половина IT-руководителей считает фишинг проблемой

 

В ходе исследования, проведенного Cisco в октябре 2015 г., было выявлено, как ИТ-руководители воспринимают риски и проблемы безопасности, а также была определена роль благонадежности поставщиков ИТ-услуг в их ИТ-инвестициях.

 

68 % участников опроса назвали вредоносное ПО в качестве основной внешней проблемы информационной безопасности организации. Фишинг и сложные целенаправленные угрозы заняли второе и третье место — 54 % и 43 % соответственно.

 

Что касается внутренних проблем информационной безопасности, то более половины (54 %) респондентов как основную угрозу указали загрузки вредоносного ПО, а также внутренние нарушения сотрудниками (47 %) и уязвимости аппаратного обеспечения и ПО (46 %).

 

 

 

По статистике Cisco, практически все организации (97 %) проводят обучение информационной безопасности для своих сотрудников по крайней мере раз в год. 43 % компаний-респондентов, наблюдавших у себя нарушения безопасности, ввели дополнительное обучение своих сотрудников.

 

 

О программах-вымогателях

 

В отчете рассказывается о методах использования программ-вымогателей для шифрования файлов пользователей. Ключи для расшифровки передаются лишь после уплаты «выкупа» — обычно порядка 300–500 долларов. Впрочем, платеж совсем не гарантирует передачу ключей.

Cisco удалось противодействовать распространению набора эксплойтов Angler и входящим в его состав программам вымогателям. Эксперты компании выяснили, что популярные веб-сайты перенаправляют пользователей на Angler через вредоносную рекламу. Фальшивые рекламные объявления размещались на сотнях крупных популярных новостных сайтов, сайтов с объявлениями по недвижимости или материалами о культуре. Такие сайты обычно называются в сообществе информационной безопасности «заведомо добропорядочными» (known good).

 

Кроме того, аналитики угроз Cisco обнаружили множество небольших, казалось бы произвольно отобранных веб-сайтов. Они осуществляли переадресацию того же рода, использовался даже некролог в небольшой сельской газете в США. Последняя стратегия, скорее всего, была рассчитана на атаку против пожилых людей. Эта категория пользователей с большей вероятностью используют веб-браузеры по умолчанию, такие как Microsoft Internet Explorer, но реже учитывают необходимость регулярно исправлять уязвимости Adobe Flash.

 

 

 

Другой важный аспект операции Angler — объем уникальных ссылок (referers) и низкая частота использования каждой из них. Эксперты Ciscoобнаружили более 15 000 уникальных сайтов, направляющих пользователей на Angler, причем 99,8 % этих сайтов использовались менее 10 раз. Большинство источников ссылок таким образом были активны лишь в течение короткого времени и удалялись после атаки на нескольких пользователей.

 

В Cisco определили, что около 60 % загрузок Angler, применяемых в данной конкретной операции, устанавливали тот или иной вариант программы-вымогателя, в большинстве случаев — Cryptowall 3.0. Другие типы загрузок включали Bedep — загрузчик вредоносного ПО, который широко применяется для установки вредоносного ПО мошеннической рекламы для переходов. Оба вида вредоносного ПО помогают злоумышленникам очень быстро получать значительный доход от скомпрометированных пользователей, причем практически без дополнительных

В отчете также приводятся данные о сети DDoS-атак SSHPsychos, на которую в отдельные моменты времени на SSHPsychos приходилось свыше 35 % всего мирового трафика SSH в Интернете. Упоминается и немало других любопытных фактов. К примеру, эксперты Cisco обнаружили, что некоторые заказчики этой компании не торопятся обновлять ПО. В частности, некоторые клиенты Cisco в области финансовых услуг, здравоохранения и розничной торговли используют версии программного обеспечения Cisco, выпущенные более 6 лет назад. А это означает множество уязвимостей.

 

 

 

 

Напомним, что ознакомиться отчетом «Годовой отчет Cisco по информационной безопасности 2016» можно по адресу: http://www.slideshare.net/CiscoRu/cisco-2016.

Автор:
Дата публикации:

Что такое Advanced Persistent Threat? Ряд экспертов полагают, что APT – это просто «продвинутый устойчивый баззворд». Алексей Лукацкий и «Лаборатория Касперского» относят к этому термину не одиночные атаки, а комплексные кампании, направленные на группу жертв, включающие серьезную подготовительную работу – сбор данных о цели и ее сотрудниках, создание стенда, моделирование проникновения и т.д.

Происхождение словочетания Advanced Persistent Threat туманно, однако принято считать, что в 2006 году полковник ВВС США Грег Рэттрей (Greg Rattray) стал использовать этот термин для обозначения троянских атак, связанных с выводом данных. Эксперт компаний FireEye и Mandiant Ричард Бейтлич (Richard Bejtlich) утверждает, что в Министерстве обороны, спецслужбах и ВВС США было принято обозначать атаки именем злоумышленника, а для тех случаев, когда необходимо было обсудить вторжение с коллегами, не имеющими права допуска к подобной информации, стали использовать термин APT. Не совсем ясна роль военных летчиков в расследованиях компьютерного шпионажа, однако термин прижился и вот уже несколько лет вызывает ожесточенные споры.

Специалисты «Лаборатории Касперского», собравшие известные им таргетированные атаки на красивом сайте apt.securelist.com, реализованном в стилистике игры «Морской бой», считают, что аббревиатура APT стала активно использоваться после материала в «Нью-Йорк таймс», где рассказывалось об атаке на эту газету, устроенной китайской военной, теперь известной как APT 1.

Когда заходит речь о точном переводе APT, вариативность слова advanced порождает разные смысловые трактовки: например, в HP и Trend Micro такие атаки называют «расширенные постоянные угрозы», эксперты других компаний – «продвинутые», «развитые», «сложные», «изощренные», «целенаправленные» или, например, «таргетированные» угрозы. Подразделение Управления по технологиям США, Национальный институт стандартов и технологии (NIST) и вовсе называет APT «долгосрочный паттерн целевых, изощренных атак» (a long-term pattern of targeted, sophisticated attacks).

В такой разноголосице нет ничего удивительного: у APT есть четыре ключевых признака, и все они не укладываются в рассматриваемую аббревиатуру: сфокусированность, многовекторность, продвинутость и устойчивость.

Давайте немного расшифруем эти характеристики.

Сфокусированность – целью атаки может быть как секреты или ресурсы одной компании, так и передовые разработки в нескольких отраслях. В тех случаях, когда нападающие ищут информацию с определенными характеристиками, сети могут расставляться очень широко. Выбранная жертва всесторонне изучается профессиональной группой хорошо подготовленных специалистов, которые действуют не как грабители в переулке, а скорее как киллеры.

Многовекторность – вторая характерная черта подобных угроз. Именно поэтому APT-атаки нередко называют «расширенными». Высокая квалификация атакующих позволяет им сочетать методы нападения различной природы в поисках оптимального сценария проникновения.

Продвинутость, прогрессивность – злоумышленники могут комбинировать сложнейшее вредоносное ПО, использующее уязвимости нулевого дня, как это было в случае со Stuxnet, с элементарными приемами социальной инженерии и фишингом, физическим проникновением и другими тактиками.

Устойчивость, постоянство – термин «устойчивость» в аббревиатуре APT используется, чтобы описать трудности в устранении обнаруженных APT, а также намерение атакующих оставаться незамеченным в скомпрометированной системе в течение нескольких месяцев или лет.

 

В книге «Reverse Deception: Organized Cyber Threat Counter-Exploitation» APT-атаки характеризуются, в частности, следующими критериями:

• Цели – наличие конечной цели (или целей).
• Долговременная подготовка – тщательное изучение жертв.
• Значительные ресурсы – высокий уровень знаний атакующих и продвинутый инструментарий.
• Допустимый риск – стремление остаться незамеченными как можно дольше.

Согласно данным Tom’s IT Pro, только 20% всех кибератак сегодня можно отнести к APT, но их эффект, как правило, крайне разрушителен. Недавно в Россию из США был экстрадирован Владимир Дринкман, обвиняемый в создании вируса Carbanak. Одна из самых успешных APT-компаний принесла своим создателям около 1 млрд долларов. Среди пострадавших оказалось множество финансовых организаций Европы и США. Червь поражал компьютеры банков под управлением операционной системы Microsoft Windows для последующего снятия средств через банкоматы, системы онлайн-банкинга или Point Of Sale.

По информации Securelist.com, на компьютеры банковских сотрудников, зараженных с помощью целевого фишинга, устанавливался бекдор. В дальнейшем злоумышленниками предпринимали разведывательные мероприятия в ручном режиме, исследуя внутренние механизмы финансовых организаций для осуществления транзакций. Чтобы понять, как работает каждый конкретный банк, зараженные компьютеры использовались для записи видеоматериала, который затем отправлялся на командные серверы. Несмотря на относительно низкое качество видеозаписи, она позволяла злоумышленникам, в распоряжении которых были также данные, собранные на тех же компьютерах с помощью кейлоггеров, понять, что делала жертва. Это давало атакующим возможность получить информацию, достаточную для организации вывода средств.

На портале Центра стратегических и международных исследований представлен список из 183 инцидентов, которые можно отнести к APT. Значительную работу также проделали на сайте cromwell-intl.com, сгруппировав кибервоенные и шпионские APT-кампании по регионам. В следующих материалах мы расскажем о наиболее ярких таргетированных атаках, а также о современных подходах, позволяющих обнаружить подобные угрозы в отношении компании или организации.

Автор:
Дата публикации:

Недавно мы рассказывали об эффективности тренингов по повышению осведомленности сотрудников о сетевых угрозах. Сегодня поговорим о том, что бывает, если подобными вопросами не заниматься. Речь пойдет о краже особо чувствительных персональных данных, так или иначе связанных с врачебной тайной.

 

 

На днях журналисты Financial Times со ссылкой на министерство здравоохранения и социальных служб США сообщили, что в течение уходящего года хакерами была похищена медицинская информация более чем 100 млн клиентов. 

 

В таблице Financial Times не указаны атаки на страховую компанию CareFirst (1,1 пользователей), а о двух крупнейших утечках 2015 года (Anthem и Premera) стало известно не в марте, а в феврале, но суть от этого не меняется – минувший год стал наиболее результативным для злоумышленников, нацеленных на компании в области здравоохранения. И вновь самые крупные операции начинались с помощью фишинговых ресурсов. 

 

5 февраля выяснилось, что хакерам удалось получить доступ к личным данным почти 80 млн клиентов одной из крупнейших американских страховых компаний – Anthem. Нападающие зарегистрировали сайт «we11point.com», маскирующийся под официальный ресурс компании Anthem, которая до конца 2014 года называлась именно Wellpoint. Была развернута сеть вызывающих доверие поддоменов, в частности «extcitrix.we11point.com» и «hrsolutions.we11point.com», что вполне соответствует статистике PhisheMe – проще всего обмануть сотрудников, сделав упор на безопасность (Citrix предоставляет VPN-сервисы) и внутренние коммуникации (hr).

 

Как и в последующем взломе службы управления персоналом США (OPM), для проникновения в сеть Anthem применялся один из вариантов вредоносного ПО Derusbi (подробнее о нем в докладе Fortinet) под названием Sakula. Зловред был заверен электронной подписью с сертификатом, похищенным у корейской софтверной компании DTOPTOOLZ Co.

 

27 февраля стало известно об утечке персональных данных 11 млн клиентов страховщика Premera Blue Cross. На этот раз сотрудники были обмануты с помощью сайта «prennera.com». Злоумышленники небезосновательно предполагали, что две буквы «n» некоторыми пользователями будут приняты за букву «m».

 

20 мая были опубликованы подробности об атаке на компанию Carefirst с помощью фишингового сайта «caref1rst.com». Похищены сведения о 1,1 млн клиентов страховой компании.

 

Размер ущерба посчитать практически невозможно, известны лишь расценки на черном рынке за информацию такого рода. Средняя стоимость медицинской карты, по данным World Privacy Forum, составляет около 50 долл., тогда как сведения о номерах кредитных карт оцениваются всего в один долл. О пятидесятикратной разнице в цене говорит и Линн Данбрак (Lynne Dunbrack), вице-президент по исследованиям IDC Health Insights. Цифры далеко не предельные. По информации Карла Леонарда (Carl Leonard), аналитика компании Raytheon Websense, полное медицинское досье на одного человека в даркнете может стоить от 200 до 2000 долл.

 

 

Большинство жителей США, по всей видимости, могут спать относительно спокойно. Во-первых, американские страховщики уверены, что хакеры не получили информацию о диагнозах пациентов и их платежных данных, хотя это и вызывает определённые сомнения, учитывая, что нападающие по несколько месяцев «сидели» в сетях страховщиков. Во-вторых, украденные данные не появились на подпольных биржах, что является очередным «индикатором компрометации» групп, сотрудничающих с китайскими спецслужбами (Deep Panda, Axiom, Group 72, Shell_Crewи т.д.), которые, скорее всего, и стоят за этими атаками.

 

В 2016 году в борьбу за потребителя активно включатся группировки, напрямую монетизирующие информацию о здоровье пациентов. В декабре отдел Health Insights компании IDC выпустил прогноз, согласно которому в 2016 году медицинские данные каждого третьего пользователя будут скомпрометированы. Среди основных причин – недостаточное внимание к вопросам безопасности в сфере здравоохранения и увеличение количества онлайн-данных пациентов.

 

В докладе утверждается, что к 2018 году такие суперкомпьютеры, как IBM Уотсон, помогут снизить смертность пациентов и расходы на лечение на 10%, а виртуальное здравоохранение и телемедицина (о ней, в частности, немного говорил Владимир Путин с представителями Рунета) войдут в обиход уже в ближайшее время. По прогнозу, к 2018 году 30% мировых систем здравоохранения будут применять системы когнитивного анализа. Машинное обучение и системы Big Data станут использоваться для борьбы с раком и другими тяжелыми заболеваниями. При этом системам потребуется самая полная информация о пациентах. По словам аналитиков IDC, помимо клинических данных, системы Big Datа будут анализировать информацию об образовании и финансовом благополучие пациента, о местных погодных явлениях, таких, как смог или пыльца в воздухе.

 

Давайте представим, какие риски могут нести за собой утечки персональных медицинских данных с учетом российских реалий, где результаты анализов постороннего человека можно получить простой подстановкой номера договора в адресной строке, а ответственность организации за разглашение информации, содержащей врачебную тайну, по прежнему весьма расплывчата. 

 

• Телефонный фишинг (представиться врачом и убедить приобрести дорогостоящее лекарство; подобные аферы в отношение пожилых больных людей происходят повсеместно).
• Шантаж пациента (угроза разглашения информации об инфекционных заболеваниях, половых инфекциях и т.д.).
• Шантаж организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов).
• Недобросовестная конкуренция (кража информации о платежеспособных пациентах, внесение изменений в документацию и т.д.)
• Развитие рынка черной трансплантологии (поиск клиентов и носителей органов, один из примеров).

 

Кредитные карты можно перевыпустить, но изменить медицинские данные значительно сложнее, что хорошо известно, например, американским кадровикам, допустившим утечку более 5 млн отпечатков пальцев. Как защитить хотя бы часть данных о пациентах? Основной совет аналитиков IDC заключается в повышении базовой компьютерной грамотности сотрудников медицинских (и околомедицинских компаний) для противодействия фишинговым атакам. 

 

Автор:
Дата публикации:

Производители средств защиты любят говорить о технологиях самообучения и поведенческом анализе, но в 2015 году человеческий фактор остался непобеждённым. Каждая третья утечка происходит из-за ошибок сотрудников (данные Association of Corporate Counsel), и почти все самые грандиозные потери данных последних лет связаны с фишинговыми письмами. К счастью, служащие достаточно эффективно впитывают информацию о новых угрозах, о чем свидетельствуют результаты отчета, опубликованного 21 декабря компанией PhishMe.

За 13 месяцев специалисты PhishMe отправили около 8 млн псевдо-фишинговых писем 3.5 млн сотрудникам компаний из 23 отраслей. Рассылка проводилась в рамках тестирования подготовленности пользователей к настоящим атакам. Как выяснилось, адресаты быстро учатся отличать мошеннические послания от рабочей почты. Читать →