В 2021 году выявлено рекордное количество угроз нулевого дня

В 2021 году выявлено рекордное количество угроз нулевого дня
29.04.2022

В прошлом году число  Zero day-угроз составило 57. Это вдвое больше, чем в 2020 году, и больше, чем в любой другой год за всю историю наблюдений. По данным КРОК, общее число кибератак увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Большая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня.

Эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производить ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.

“Безусловно, прямо сейчас хакеры используют неизвестные уязвимости для вмешательства в работы систем. Цели разные - промышленный шпионаж, кража данных и денежный средств со счетов, заражение сетей шифровальщиками и получение выкупа, политический активизм и кибертерроризм”, - отмечает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК.

Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно совершенствуется, обрастает новыми функциями, в результате чего появляются совершенно новые продукты, которые тем не менее могут содержать в себе старые ошибки. Яркий пример - уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно, множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.

«Несмотря на резкий рост численности угроз нулевого дня, их выявление отнимает все больше времени у злоумышленников. Современные системы безопасности и сложность ИТ-инфраструктур означают, что хакерам необходимо проделать куда больший объем работ, чем пять лет назад», - рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК

Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%).

При атаках нулевого дня могут использоваться различные уязвимые объекты: операционные системы, веб-браузеры, офисные приложения, компоненты с открытым исходным кодом; аппаратное обеспечение и интернет вещей.
  • Операционные системы — возможно, наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.
  • Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.
  • Офисные приложения — вредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.
  • Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.
  • Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.
  • Интернет вещей (IoT) — подключенные устройства, от бытовой техники и телевизоров до датчиков и подключенных автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.

Стоимость эксплойтов нулевого дня сильно варьируются и достигает до 2500000 долларов и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.

Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причем Android версии ценятся куда больше. 

Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тысяч).

Однако многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в 1 млрд. долларов. В России с помощью этого вируса было украдено более 58 миллионов рублей из ПИР Банка.

Громких случаев немало. В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство и  всем файлам.

“Основная задача злоумышленника - это получение доступа в сеть и повышенные привилегий. Тут речь идет именно про уязвимости ПО, хотя, надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на "помощь" приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по зараженной ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость”, - рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК

Надежное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций: 
  1. Своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода. 
  2. Работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется. 
  3. Настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах.  
  4. Развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности.
  5. Использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных.
  6. Необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.
“Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были зараженные машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего - внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness)”,- рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК

К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются новыми и неизвестными. Таким образом, существует предел того, что существующая база данных может вам сообщить. 

Для обнаружения данных о ранее зафиксированных эксплойтах все чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надежнее обнаружение.

Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст огромное преимущество в случае их наступления, уменьшит время на реагирование и повысит шансы избежать или же уменьшить ущерб.

Комментарии 0


Назад