Исследование Microsoft: за 2018 год число фишинговых атак выросло на 350%

Microsoft представила ежегодный отчет Security Intelligence Report, в котором проанализировала основные типы кибератак за 2018 год. Самым популярным методом является фишинг, в России рост майнинга кибервалют превышает среднемировой, число атак вирусов-вымогателей во всем мире снижается[1]. 

Москва, 28 февраля 2019 г. — Корпорация Microsoft представила 24-й отчет об угрозах информационной безопасности Security Intelligence Report (SIR). Для подготовки отчета эксперты проанализировали 6,5 трлн сигналов, которые проходят через облачные ресурсы Microsoft каждый день[2]. Данные были предоставлены корпоративными и частными пользователями, которые согласились поделиться ими с привязкой к геолокации.

В отчете выделены четыре основные типа атак: фишинг, программы-вымогатели, ПО для скрытого майнинга и атаки на цепочку поставок ПО. Согласно документу, самым быстрорастущим типом атак остается фишинг, количество атак вирусов-вымогателей снижается, но вместо них злоумышленники перешли к более скрытным методам, а именно, майнингу криптовалют. Также эксперты отметили снижение на треть количества программ-вымогателей в России. 

Резкий рост фишинга

Популярность фишинга стремительно растет, за 2018 год среднемесячный показатель числа атак вырос более чем на 350%. Microsoft ежемесячно анализирует и сканирует более чем 470 млрд электронных писем на предмет фишинговых и вредоносных атак. За 2018 год среднемесячный показатель фишинга вырос с 0,14% (644 млн писем в месяц) до 0,49% (2 млрд 254 млн) в месяц. Мы ожидаем продолжения этой тенденции в обозримом будущем, поскольку действия злоумышленников направлены не на поиск технических уязвимостей, а на человеческие слабости.

Злоумышленники изменили тактику в ответ на более сложные инструменты и методы, которые были внедрены для защиты пользователей. От быстрых атак, которые активны на протяжении всего нескольких минут, мошенники перешли к долгосрочным кампаниям. Фишинговые атаки усложнились, злоумышленники используют одновременно несколько векторов атак, они присылают письма с разных IP-адресов и используют подделку доменных имен для того, чтобы электронные письма выглядели так, будто отправлены от имени известных компаний или коллег, а также тщательно продумывают тему письма, чтобы заставить пользователя его открыть.

Подтверждение этому – двухэтапная фишинговая атака, произошедшая в одной организации. На первом этапе злоумышленники разослали сотрудникам письма со ссылкой на поддельный лэндинг, где нужно было ввести учетные данные для доступа к «важному документу». С помощью этой информации мошенники получили доступ к аккаунтам Office 365. На втором этапе киберпреступники попытались через фишинговые письма получить доступ к ценным активам компании. На этом этапе Microsoft связалась с клиентом и заблокировала доступ злоумышленников к ранее скомпрометированным аккаунтам Office 365.

Число атак вирусов-вымогателей снижается

Снижение количества атак вирусов-вымогателей в 2018 году демонстрирует, как меры компьютерной безопасности заставляют злоумышленников менять свои подходы. В 2017 году вирусы-вымогатели представляли собой серьезную угрозу, именно поэтому так примечательно снижение числа их атак: среднемировой показатель снизился на 73%. Мы считаем, что злоумышленники перешли от этого весьма заметного метода к более скрытным атакам, поскольку пользователи стали более грамотно реагировать на угрозы: отказываются платить злоумышленникам, применяют резервное копирование данных.

В некоторых странах, таких как Эфиопия (0,77%), Монголия (0,46%), Камерун (0,41%) эта угроза остается актуальной из-за низкой культуры кибербезопасности. Самая благоприятная ситуация с программами-вымогателями в Ирландии (0,01%), Японии (0,01%), США (0,02%), Великобритании (0,02%) и Швеции (0,02%).

Ситуация в России отвечает мировым тенденциям, среднемесячный показатель атак снизился на треть — с 0,12% в 2017 году до 0,08% в 2018 году.

Майнинг криптовалют

По среднемесячному числу атак в 2018 году программы-вымогатели уступили майнингу криптовалют (0,05% против 0,12%). Злоумышленники стали активно внедрять скрытый майнинг и начали использовать вычислительные мощности компьютеров своих жертв для генерации криптовалют. Вторжение не только снижает производительность системы, но может нанести и более значительный вред.

Можно проследить зависимость числа подобных атак от стоимости криптовалют. Количество вирусов для майнинга выросло почти в 2,5 раза. Например, в марте зафиксирован резкий рост подобных атак по всему миру. В России в марте их число составило 1,9% против общемирового показателя 0,28%. В результате среднемесячное количество случаев майнинга криптовалют в России в 2018 году также превышает среднемировой показатель: 0,43% против 0,12%.

Самые опасные вирусы работают через браузеры, мошенникам не нужно заставлять жертву скачивать какое-либо дополнительное ПО. Некоторые сервисы рекламируют браузерные приложения для майнинга как способ монетизации трафика веб-сайтов. В этом случае владельцам ресурсов уже не нужно полагаться на доход с рекламы. Когда пользователь заходит на страницу со встроенным вирусом, у него сильно сокращается производительность компьютера и растет расход электричества. Мошенники таким образом получают доступ к мощностям тысяч компьютеров.

Страны, в которых специалисты чаще всего сталкивались с вирусами-майнерами, это Эфиопия (5,58%), Танзания (1,83%) и Пакистан (1,47%). Реже всего этот тип вредоносного ПО проявлялся в Ирландии (0,02%), Японии (0,02%) и США (0,02%).

Цепочки поставок ПО оказались под угрозой

Атаки на цепочку поставок ПО – это еще одна тенденция, которую Microsoft отслеживает последние несколько лет. Злоумышленники внедряют вирус в исходное приложение или пакет обновлений. Пользователи доверяют вендорам и самостоятельно устанавливают вредоносную программу на свои компьютеры, воспринимая ее за продукт известного поставщика.

В 2018 году первой (и самой крупной) атакой данного типа стал троян Dofoil, за первые 12 часов действий которого Windows Defender Antivirus блокировал более 400 тысяч атак, направленных на пользователей России (73%), Турции (18%), Украины (4%) и других стран. Кроме того, было несколько атак, компрометирующих облачные сервисы, например, зараженные расширения Chrome, которые устанавливали вредоносный файл clickfraud, различные скомпрометированные репозитории Linux, вредоносные плагины WordPress, которые в том числе позволяли злоумышленникам публиковать контент на сайтах WordPress и т.д.

Снижение числа вредоносных программ

Среднемесячный показатель числа вредоносных программ в мире за 2018 год снизился с 6,29% до 5,07%. Однако, в некоторых странах, например, в Эфиопии (26,3%) и Пакистане (18,94%), все еще наблюдается высокий показатель атак вредоносных программ, это является результатом низкого уровня цифровой культуры: осведомленности пользователей о принципах безопасности. Использование нелицензионного программного обеспечения также может быть источником вредоносного ПО. Кроме того, причиной часто выступают площадки, незаконно предлагающие бесплатное программное обеспечение или контент, например, потоковое видео. Некоторыми потенциальными причинами общего снижения числа случаев заражения вредоносными программами в 2018 году являются рост использования Windows 10 и более широкое использование Windows Defender.

В России среднемесячный показатель числа вредоносных программ вырос с 8,83% в 2017 году до 9,23% в 2018 году.

Страны, в которых специалисты чаще всего сталкивались с вредоносным ПО, это Пакистан (18,94%), Палестина (17,5%), Бангладеш (16,95%) и Индонезия (16,59%). Реже всего вредоносное ПО проявлялось в Ирландии (1,26%), Японии (1,51%), Финляндии (1,74%), Норвегии (1,79%) и Нидерландах (1,82%).

Ознакомиться с полным текстом нового отчета Microsoft Security Intelligence Report, а также получить практические рекомендации по защите корпоративной сети и частных устройств можно на https://www.microsoft.com/en-us/security/operations/security-intelligence-report.


[1] Данные о количестве обнаруженных угроз, а не о случаях заражения.

[2] Источником данных послужили пользовательские и коммерческие локальные системы, а также глобальные облачные сервисы Microsoft, такие как Windows Defender, Exchange Online, Bing, Malicious Software Removal Tool, Microsoft Safety Scanner, Microsoft Security Essentials, Windows Security и Azure Security Center

Связанные посты