Копайте глубоко. Как злоумышленники используют сетевых червей сегодня

Триумфальное шествие WannaCry и Petya по планете состоялось пять лет назад. С тех пор громких новостей о сетевых червях намного меньше. Однако тишина в СМИ не говорит о том, что этот вид вредоносного ПО ушел в прошлое. Его по-прежнему используют, хоть и намного реже.

Как сетевые черви работают сейчас? И какие инструменты защиты от них актуальны, а что – уже нет? Подробности – в этой статье.

Черви не отступают

Несколько лет назад от WannaCry, Petya, NotPetya пострадало множество организаций. Большинство из них – представители России и Украины. Под удар попал и коммерческий, и государственный сектор.

Артем Бруданин

Руководитель направления кибербезопасности RTM Group

Специалисты оценивают ущерб от WannaCry, Petya, NotPetya в более чем 10 млрд долларов. Еще пример – атака червей на базе уязвимости BlueKeep (2019 год).

Все это – крупнейшие заголовки новостей, но далеко не единственные. Так, за последние пару месяцев можно обнаружить информацию сразу о нескольких цепочках компьютерных атак через сетевые черви, в том числе через StripedFly и P2PInfect.

Старые и новые инциденты подтверждают, что компаниям следует серьезно относиться к защите от сетевых червей – считают эксперты. Такие атаки наносят серьезный финансовый ущерб, разрушают репутацию компании и ломают ее бизнес-процессы.

Тем не менее сетевых червей в объеме вредоносного ПО сегодня совсем немного. Согласно исследованию Positive Technologies, на их долю приходится не более 1%. Несмотря на это, списывать червей со счетов все равно пока рано – считают эксперты. Особенно сейчас, когда злоумышленники стали применять их активнее. 

Дмитрий Хомутов

Директор компании Ideco

Хакеры достаточно часто используют рассылки сетевых червей среди прочих атак, которые они совершают. Только в первом квартале 2023 года доля применения этого вредоносного ПО в нападениях на ИБ организации выросла на 21%, частных лиц — на 23% по сравнению с показателями прошлого года.

При этом сетевые черви сегодня, как и 10 лет назад, – это вредоносные программы, которые могут самостоятельно распространяться по сети. Они инфицируют уязвимые устройства, перехватывая контроль над ними. Черви по-прежнему помогают преступникам в сборе информации, установке дополнительных вредоносных программ. Также часто их применяют в краже конфиденциальных данных и создании ботнетов.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Каждый раз, когда вы читаете новость про очередную DDoS-атаку, знайте: это и есть результат работы сетевых червей. Именно они активно используются для создания ботоферм.

Что в тренде

Наиболее популярными сегодня считаются почтовые черви, IM-черви и черви-каскады. С первыми многие ИБ-специалисты знакомы давно – со времен ADSL и ранее. С тех пор изменилось немногое. Киберпреступники по-прежнему выдают себя за кого-то другого и отправляют пользователям письма с вредоносной ссылкой. Также они вынуждают жертв передавать какую-либо конфиденциальную информацию. Похожие риски возникают с IM-червями, которые распространяются в мессенджерах. 

Дмитрий Хомутов

Директор компании Ideco

Одним из популярных способов, с помощью которых такое вредоносное ПО проникает в защиту компании, – это применение хакерами уязвимостей в сетевых службах и протоколах. Например, червь может использовать слабые места в протоколе чтения почты (POP3) для автоматического распространения и заражения других компьютеров в сети. Если компания не обновляет программное обеспечение или не устанавливает патчи безопасности, вред от хакерской атаки может быть существенным.

Что касается червей-каскадов, то они из-за своей способности к быстрому распространению могут создавать мощную нагрузку на сетевую инфраструктуру компании. Это может приводить к снижению производительности или даже к полному отказу сети, причем с потерей контроля компании над конфиденциальной информацией – напоминают эксперты.

Как защищают

Сетевых червей часто обнаруживают до того, как они перерастают в проблемы для компании. Во многом это заслуга системных администраторов и ИБ-специалистов. Они понимают, что старые версии операционных систем или приложений могут быть уязвимыми для атак червей, поэтому стараются вовремя обновлять ПО и применять патчи безопасности. 

Артем Бруданин

Руководитель направления кибербезопасности RTM Group

Нужно понимать, что «‎жизнь»‎ сетевых червей весьма короткая: с момента появления новой версии до обновлений сигнатур различных средств защиты информации проходит от нескольких часов до пары недель.

Однако даже на сегодняшний день сетевые черви активно распространены и используются злоумышленниками для реализации компьютерных атак. Если раньше этих вредоносов можно было разделить по методу заражения на две группы (уязвимости и социальная инженерия), то абсолютное большинство всех современных – использующие уязвимости.

При этом, по словам экспертов, уже мало кто использует только антивирусное ПО без дополнительных мер защиты. Чаще борьба с сетевыми червями проходит сразу с помощью нескольких СЗИ.

Екатерина Старостина

Директор по развитию бизнеса «Вебмониторэкс»

Компании по мере развития технологий и появления новых видов угроз начали применять более сложные и интеллектуальные системы защиты. Например, сетевые экраны и системы обнаружения вторжений (IDS) стали более продвинутыми и способными распознавать новые угрозы.

Кроме того, изменились средства идентификации и аутентификации. Компании активнее переходят с устаревших методов подтверждения личности (паролей) на многофакторную верификацию (MFA) и биометрическую систему. Обновление помогает обеспечить более сильную защиту от червей и несанкционированного доступа. Но и это еще не все – теперь к инструментам защиты все чаще относят ИИ. 

Артем Бруданин

Руководитель направления кибербезопасности RTM Group

Средства защиты от угроз подобного рода улучшаются из года в год. Сейчас хайп-инструментом является внедрение машинного обучения для выявления сигнатур вредоносного кода, паразитного трафика и автоматической корреляции событий.

При этом, по словам эксперта, в компаниях растет доля многовекторных атак. Для их выявления требуются комплексные решения типа SOAR, XDR, HIPS и ITDR.

Еще один тренд на рынке – повышенное внимание к обучению персонала правилам кибербезопасности. В последние годы многие компании сосредоточились именно на этом направлении.

Дмитрий Хомутов

Директор компании Ideco

По данным исследования ГК «Солар», 75% опрошенных компаний планируют проводить дополнительные киберучения для повышения квалификации специалистов.

Мероприятия включают в себя основные принципы безопасности, идентификацию фишинговых писем и другие типы атак, чтобы сотрудники могли более эффективно предотвращать их. 

Также, как отмечает Дмитрий Хомутов, сегодня многие стали уделять внимание безопасной разработке. Программисты активно используют сканеры уязвимостей и статический анализ кода, в том числе для выявления и устранения ошибок до их обнаружения червем.

Выводы

Вероятность, что компания пострадает от сетевого червя, остается небольшой. Средства защиты хорошо справляются со своими задачами. Но то же самое нельзя сказать о людях и лицах, принимающих решения об обновлении СЗИ в компаниях. Зачастую именно благодаря им черви проникают в корпоративную сеть, а в СМИ появляются громкие заголовки о заражениях и миллиардных убытках.

Однако человеческий фактор не обеспечивает 100%-ный успех злоумышленникам. Им проще полагаться на дыры в технической защите компании и уязвимости в популярном ПО. Вот почему трояны, на которые приходится 9 из 10 вредоносов в бизнес-практике, вряд ли уступят место червям – отмечают эксперты.