Дайджест отчета Symantec ISTR по итогам 2016 года

Symantec ISTR это периодически публикуемый отчет с обширной статистикой и аналитикой в области информационной безопасности (ИБ). Для сбора данных используется разветвленная сеть датчиков, ловушек, систем сбора статистики, в том числе и встроенная в программное обеспечение (ПО), выпускаемое компанией Symantec.
Очередной, 22-й выпуск отчета посвящен итогам 2016 года и рассказывает о том, как простые тактики и новые изобретения позволили злоумышленникам поднять уровень угроз в интернете на новый уровень.
С полным вариантом отчета Symantec ISTR 22 на английском языке можно ознакомиться на официальном сайте Symantec.
Краткий обзор этого отчета подготовили специалисты IT-TEAM SERVICE Узбекистан А. Ан и А. Ракитский.

Основные тренды угроз ИБ в 2016 году это:
• Явное использование взломов и утечек в политической борьбе. Самый яркий пример - предвыборная кампания в США.
• Использование доступных, встроенных в операционные системы, механизмов для реализации атак. Поиск новых уязвимостей и разработка эксплоитов - весьма трудоёмкий процесс, поэтому злоумышленники всё чаще используют встроенные служебные утилиты (PowerShell) и макросы в документах для своих атак. Использование легальных служебных утилит и функций при грамотном использовании позволяет злоумышленникам долгое время оставаться незамеченными, а функционал таких инструментов практически не отличается от традиционных вирусов.
• Очередная волна использования электронной почты для начала атак. По статистике каждое 131-е письмо несло угрозу и это высший показатель за последние пять лет. Электронная почта - один из популярнейших каналов связи, при этом рассылка почты с вредоносными вложениями и ссылками не требует эксплуатации каких-то уязвимостей. Доступные для аренды ботнеты по рассылке таких писем позволяют злоумышленникам рассылать фишинговые письма сотнями тысяч в день и надеяться, что найдутся легкомысленные получатели, которые последуют инструкциям из письма и пройдут по ссылке, запустят у себя на компьютере прикрепленный файл или документ с опасным макросом. Отчасти снижение роли новых неизвестных уязвимостей (т.н. уязвимостей 0-го дня) и их эксплуатации связано с расширением программ Bug Bounty, когда производители ПО и сервисов выплачивают вознаграждение за обнаружение уязвимостей в их продуктах.
• Рост количества вирусов-вымогателей и сумм выкупа. Сформировалась целая бизнес модель, когда вирус попадает на компьютер жертвы, шифрует важные пользовательские данные и предлагает их расшифровать за выкуп. Расчет у создателей таких вирусов простой - кто-то из тысяч заразившихся наверняка заплатит выкуп за возможность доступа к своим данным. Эксперты отмечают и рост сумм выкупа в среднем до $1077 в 2016 году с $294 годом ранее. Успех этой модели приводит к тому, что её использует всё большее число злоумышленников.
•  Угрозы ИБ выходят на новые рубежи. Происходит полноценное вовлечение интернета вещейи облачных технологий в проблематику ИБ. Так в 2016 отмечено создание полноценных ботнетов на базе камер наблюдения и сетевых роутеров.

Электронная почта: вирусы, спам и фишинг
Как отмечалось выше, электронная почта остаётся важным каналом распространения угроз ИБ. Совершенствуются механизмы социальной инженерии, вредоносные письма, которые призывают совершить какие-то действия в системах, приходят в рабочее время и оформлены часто как обычная деловая переписка для того чтобы не вызвать подозрений у пользователей. Стабильно высокой остаётся и доля спама, в прошлом году этот показатель составил 53% от всех писем и удерживается на этом уровне уже в течение трех лет.
Для рассылки спама шире используются техники snowshoe и hailstorm (снегоступы и град). Техника snowshoe подразумевает использование для рассылки спама очень большого количества ip-адресов, с каждого из которых отправляется совсем небольшое количество спам-писем. Это позволяет частично обходить фильтры, а если они и срабатывают, то часть таких писем всё равно дойдет до получателя. Техника hailstorm является усовершенствованным вариантом snowshoe, только рассылки спама производится в очень короткий период. В результате традиционные спам-фильтры просто не успевают получить обновление и спам проходит до получателя.

Киберпреступность и теневая экономика.
Начало 2016 года было ознаменовано одной из самых дерзких банковских краж в истории (инцидент Banswift). Преступники смогли украсть 81 миллион долларов США и только их собственные ошибки и бдительность сотрудников банка предотвратили дальнейшее хищение уже одного миллиарда долларов. Злоумышленники, используя слабости в системе защиты банка, смогли получить учетные данные банка для работы в системе SWIFT. Сами переводы средств они осуществили накануне длинных выходных и использовали специально разработанные вирусы для сокрытия следов и усложнения дальнейшего расследования. В итоге большая часть денег была переведена на счета казино на Филиппинах и дальнейшие следы их теряются.
В статистике количества утечек данных по странам с большим отрывом лидирует США, но, по мнению экспертов, это связано с тем, что офисы крупнейших IT-компаний располагаются там, сама страна весьма густо населена, а население широко использует информационные технологии во всех сферах жизни и существует строгое законодательство, обязывающее раскрывать данные о таких утечках. В тех странах, где законодательно не закреплена обязанность отчитываться об утечках, такие случаи чаще всего вообще не афишируются.
В отчете опубликованы приблизительные расценки на услуги киберкриминала. Так, данные одной кредитной карты международной платежной системы продаются в среднем за $20-60, скан-копии документов - $1-3 за штуку, организация DDoS атак - $5-20 за час и т.д.