Positive Technologies

Актуальные киберугрозы: итоги 2021 года

Скачать в PDF

Актуальные киберугрозы: итоги 2021 года

Скачать в PDF

Резюме

Итоги 2021 года:

  • Среди всех отраслей чаще всего подвергались кибератакам госучреждения и медицинские организации.
  • Превалирующий мотив преступников в атаках — получение данных. Они похищают огромные объемы информации. Для достижения этой цели в 2021 году злоумышленники стали чаще атаковать системы хранения данных.
  • Расцвет хакинга — все больше преступников стремятся воспользоваться уязвимостями в ПО. Этот метод был использован в трети атак на организации.
  • Произошел резкий рост количества ботнетов. Злоумышленники используют их для проведения DDoS-атак и майнинга криптовалюты.
  • Шифровальщики — остаются самым популярным ВПО, они были использованы в шести из каждых десяти атак на компании, где были задействованы вредоносы.
  • В 2021 году мир столкнулся с обилием опасных уязвимостей, которыми злоумышленники тут же воспользовались. Мы представили перечень таких трендовых уязвимостей. Если вы обнаружите их в инфраструктуре вашей компании, то срочно установите обновления безопасности.
  • На системы виртуализации нацелились операторы программ-вымогателей. В ИТ-среде появился новый термин ransomcloud, обозначающий шифровальщиков, ориентированных на облачные хранилища.
  • Все больше разработчиков вредоносного ПО нацеливают свои продукты на устройства на базе Linux. По данным компании CrowdStrike, прирост ВПО, ориентированного на Linux, составил 35%.
  • Криптовалюта снова набирает популярность, поэтому злоумышленники обратили свое внимание на криптобиржи. Финансовые потери от атак исчисляются сотнями миллионов долларов.
  • Количество атак на частных лиц остается на высоком уровне, в основном они связаны с социальной инженерией. Мы поделились своими прогнозами о том, какие темы для применения социальной инженерии будут популярны среди преступников.

Все эти тренды будут актуальны и в 2022 году. Мы также отмечаем, что ущерб от кибератак с каждым годом стремительно увеличивается, а их последствия все чаще выходят за пределы компании-жертвы и затрагивают целые отрасли. Поэтому сейчас как никогда важно следовать принципам результативной кибербезопасности.

Введение

Количество атак в 2021 году увеличилось всего на 6,5% по сравнению с 2020 годом. О замедлении роста числа атак сообщают и в МВД России. На наш взгляд, это связано с тем, что мир адаптировался к новым условиям работы на фоне пандемии коронавируса, а атаки на крупные компании мотивировали топ-менеджеров обращать больше внимания на вопросы, связанные с безопасностью. Доля целевых атак в сравнении с 2020 годом выросла на 4 процентных пункта (п. п.) и составила 74% от общего количества.

Рисунок 1. Количество атак в 2020 и 2021 годах

Мы выделили тренды, которые появились или окончательно укрепились в прошедшем году, а также поделились прогнозами и рекомендациями о том, как обезопасить себя и бизнес от актуальных киберугроз. Прежде чем переходить к трендам, вспомним знаковые события 2021 года.

Скачать таймлайн

Все внимание государственным и медицинским учреждениям

Как и в 2020 году, 86% всех атак были направлены на организации. В 2021 году в рейтинге наиболее часто атакуемых отраслей произошли небольшие изменения. Например, количество атак на госучреждения снизилось на 10%, однако, несмотря на это, они продолжают возглавлять рейтинг. В 2020 году ИТ-компании занимали седьмое место по количеству атак, а по прошествии года они поднялись на две позиции. Медучреждения поднялись с третьего места на второе.

Рисунок 2. Категории организаций, ставших жертвами атак

На фоне сложной геополитической обстановки мы прогнозируем увеличение количества атак, поэтому мы рекомендуем компаниям перейти от типовых процессов ИБ к принципам результативной безопасности. Главный акцент должен быть сделан на обеспечении киберустойчивости. Жертвой кибератаки может стать любая организация, независимо от отраслевой специфики, но последствия этой атаки будут напрямую зависеть от того, какие меры по недопущению реализации негативных событий были приняты.

Объем похищенных данных растет

С 2018 года основной мотив преступников в атаках — получение данных. В 2021 году две трети атак на организации были совершены именно с этой целью. Злоумышленники атаковали в том числе и производителей решений для хранения данных. Этот тренд сохранится и в 2022 году.

Рисунок 3. Мотивы злоумышленников (доля атак)

Выросла доля атак, мотивом которых была финансовая выгода, — с 37% в 2020 году до 47% в 2021. Этому поспособствовало обилие злоумышленников, распространяющих шифровальщики.

В основном злоумышленники, атакуя компании, охотились за персональными и учетными данными и информацией, составляющей коммерческую тайну.

Рисунок 4. Типы украденных данных (в атаках на организации)

Хакинг не стоит на месте

Как и в 2020 году, наибольшей популярностью среди злоумышленников пользовались следующие методы атак: использование ВПО, применение методов социальной инженерии и хакинг. В каждой второй атаке на организации были использованы методы социальной инженерии. Доля хакинга — эксплуатации уязвимостей в ПО — выросла за год на 8 п. п. и составила 32%.

Рисунок 5. Методы атак на организации

Примерно в восьми из десяти атак на организации были затронуты компьютеры, серверы и сетевое оборудование. Веб-ресурсы компаний становились объектами атак в 17% случаев.

Рисунок 6. Объекты атак в компаниях (доля атак)

Атакуя компании с помощью вредоносов, преступники чаще всего использовали шифровальщики: по нашим данным, они были задействованы в шести из каждых десяти случаев, а прирост в сравнении с 2020 годом составил 15 п. п. Вредоносное ПО для удаленного управления было использовано в 27% атак с применением ВПО, направленных на организации. Загрузчики заняли третье место среди наиболее часто встречающихся вредоносов, использованных в атаках на компании.

Рисунок 7. Типы вредоносного ПО в атаках на организации (доля атак с использованием вредоносного ПО за 2021 год)

Начиная с III квартала мы отмечаем взрывной рост ВПО для удаленного управления в атаках на организации: в сравнении со II кварталом его доля выросла более чем в 2 раза и составила 36%. За год прирост составил 9 п. п.

Рисунок 8. Рост доли атак с использованием вредоносного ПО для удаленного управления (атаки в организациях)

Основными способами распространения вредоносов остались электронная почта, компрометация компьютеров, серверов и сетевого оборудования, взломанные сайты.

Рисунок 9. Способы распространения ВПО в атаках на организации

Ежегодно мы отмечаем рост количества атак с использованием ВПО. С 2018 года количество таких атак выросло на 137%. И на текущий момент мы не видим оснований для снижения количества атак с использованием ВПО в 2022 году. Мы настоятельно рекомендуем сконцентрировать внимание в первую очередь на защите ключевых и целевых активов и точек проникновения во внутреннюю сеть компании. При построении системы защиты компании используйте современные средства защиты, которые позволят не только обнаружить атаку в моменте, но и не допустить ее реализации. Использование песочницы, например, поможет выявить вредонос до того, как он нанесет непоправимый ущерб компании.

Расцвет ботнетов

Бум атак, нацеленных на пополнение ботнетов, — еще один тренд 2021 года. Эксперты из компании Spamhaus также сообщили, что в III квартале они отметили рекордное количество новых ботнетов. К примеру, только в сентябре эксперты обнаружили более 900 новых экземпляров.

Проанализировав наши данные, мы составили топ наиболее активных ботнетов 2021 года:

  • Mēris;
  • Glupteba;
  • Mirai (и его разновидности);
  • Gafgyt.

На протяжении 2022 года количество бот-сетей и, как следствие, DDoS-атак будет увеличиваться. Этому способствуют и уязвимости, которые позволяют массово атаковать множество активов, и то, что такие атаки выгодны для злоумышленников. Ведь таким образом можно использовать вычислительные мощности компании для проведения DDoS-атак на другие организации или для майнинга криптовалюты.

Злоумышленники наращивают мощности своих ботнетов за счет компрометации плохо защищенных устройств: массовой эксплуатации уязвимостей, в том числе на IoT-устройствах, а также в результате успешных атак по подбору паролей на устройствах, доступных в интернете. Мы рекомендуем убедиться в надежности паролей, проверить, что не используются учетные записи по умолчанию, регулярно устанавливать обновления безопасности. Помимо этого, стоит отслеживать, не запущены ли процессы, указывающие на активность майнеров. В случае резкого уменьшения быстродействия следует выполнить полную проверку системы. Эти рекомендации актуальны как для компаний, так и для частных лиц.

В атаках с использованием ботнетов преступники могут стремиться не только использовать ресурсы компании для проведения атак, но и получить финансовую выгоду. По данным компании Check Point, за один год с помощью ботнета Phorpiex злоумышленникам удалось перехватить 969 транзакций и украсть около 500 тыс. долларов США вследствие подмены адресов криптовалютных кошельков.

Перипетии шифровальщиков

Подведем итоги по эпизодам с участием шифровальщиков, выделив главные цифры и тренды, возникшие в 2021 году:

  • 50 млн долл. США — максимальная сумма запрашиваемого выкупа.
  • 40 млн долл. США — максимальная выплаченная злоумышленникам сумма.
  • 1,85 млн долл. США — средняя стоимость устранения последствий атаки программы-вымогателя.
  • 60% — доля шифровальщиков среди атак с использованием ВПО, направленных на компании.
Отраслевая направленность

В 2021 году чаще всего жертвами программ-шифровальщиков оказывались медицинские и государственные учреждения, научные и образовательные организации, а также промышленные компании.

Рисунок 10. Категории организаций, ставших жертвами атак с использованием шифровальщиков
В 68% атак злоумышленники распространяли шифровальщики через электронную почту, а в 29% — прибегали к компрометации компьютеров, серверов и сетевого оборудования. На наш взгляд, в ближайшем будущем уязвимости станут одним из основных векторов распространения шифровальщиков. К таким же выводам пришли и эксперты из компании Ivanti. В своем годовом исследовании они подчеркнули, что распространители программ-вымогателей используют около 300 известных уязвимостей для заражения устройств — это на 29% больше, чем в 2020 году.
Рисунок 11. Способы распространения шифровальщиков в атаках на организации

Пятерка наиболее активных в 2021 году программ-вымогателей:

  • REvil; 13 июля 2021 года инфраструктура REvil была уничтожена. В январе 2022 года были арестованы участники группировки.
  • Conti (Ryuk);
  • Avaddon;
  • Clop;
  • PayOfGrief.
Новые тактики вымогательства

В 2020 году киберпреступники, распространяющие программы-вымогатели, угрожали своим жертвам, которые отказывались платить выкуп, передать информацию об атаке их клиентам. В 2021 году злоумышленники пошли дальше. Теперь они угрожают опубликовать украденные у компании данные, если жертва обратится за помощью в полицию или наймет переговорщика. Такую тактику уже применили группировки Grief и Ragnar Locker.

Обновление политики взаимодействия внутри группировок

Некоторые операторы программ-вымогателей ушли от распределенной системы, где есть множество распространителей их вредоносов. Это связано с тем, что организовать работу в таких системах сложно, многие из распространителей атаковали компании с помощью одного и тоже ВПО по несколько раз. Пострадавшие, столкнувшиеся с такой чередой атак, отказывались платить выкуп повторно. Во II квартале 2021 года мы отмечали, что, по данным исследования компании Cybereason, 80% организаций, заплативших выкуп операторам программ-вымогателей, были атакованы повторно; 46% атакованных повторно считают, что пострадали от рук тех же киберпреступников, что и в первый раз. Новая структура предполагает централизованное управление и наем распространителей в штат самих группировок.

Запросы злоумышленников растут

В 2021 году суммы, запрашиваемые в качестве выкупа, заметно выросли. Об этом сообщила и исследовательская группа Unit 42 в своем отчете. Только за первое полугодие 2021 года средняя сумма выплат злоумышленникам составила 570 тыс. долл. США, это на 82% больше аналогичного показателя за весь 2020 год. В России, по данным компании Group-IB, средняя сумма, которую жертвы переводили киберпреступникам в качестве выкупа, составила 3 млн рублей.

Последствия атак становятся серьезнее и масштабнее

Последствия атак с использованием программ-вымогателей в 2021 году вышли за пределы локальной компании-жертвы и ее клиентов и затронули целые отрасли и обычных граждан. Наглядные примеры — атаки на Colonial Pipeline и JBS.

В 2022 году мы прогнозируем увеличение количества атак с использованием программ-вымогателей. В связи с этим мы рекомендуем убедиться в устойчивости ключевых для бизнеса систем и настроить регулярное резервное копирование, с сохранением копий, например, в облачном сервисе. В свою очередь, владельцам этих облачных сервисов требуется обеспечить необходимый уровень киберустойчивости. В случае атаки не идите на поводу у злоумышленников и не платите выкуп, ведь, по статистике, не все украденные данные преступники возвращают и зачастую не всю информацию можно восстановить, а сами жертвы становятся жертвами новых атак.

Уязвимости в тренде

На протяжении всего года в каждом квартале мы фиксировали появление громких уязвимостей, которые злоумышленники тут же использовали. Например, ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j . В 2021 году доля хакинга и эксплуатации веб-уязвимостей суммарно составила 43% среди всех использованных методов в атаках на организации, что на 8 п. п. больше, чем в предыдущем году.

Мы подготовили собственный перечень наиболее часто используемых уязвимостей этого года (табл. 1). Если в вашей инфраструктуре используется ПО, в котором были выявлены эти уязвимости, рекомендуем проверить, установлены ли для них обновления безопасности.

Таблица 1. Популярные уязвимости, опубликованные в 2021 году

Идентификатор уязвимости Тип уязвимости Базовая оценка CVSS ПО, в котором обнаружена
CVE-2021-27101 Удаленное выполнение кода 9,8 Accellion FTA
CVE-2021-27103 Подделка запроса на стороне сервера 9,8 Accellion FTA
CVE-2021-27104 Удаленное выполнение кода 9,8 Accellion FTA
CVE-2021-27102 Удаленное выполнение кода 7,8 Accellion FTA
CVE-2021-26855 (ProxyLogon) Подделка запроса на стороне сервера 9,8 Сервер Microsoft Exchange
CVE-2021-26857,
CVE-2021-26858,
CVE-2021-27065 (ProxyLogon)
Удаленное выполнение кода 7,8 Сервер Microsoft Exchange
CVE-2021-44228 Удаленное выполнение кода 10,0 Библиотека Apache Log4j2
CVE-2021-28799 Удаленное выполнение кода 9,8 QNAP NAS
CVE-2021-34527 (PrintNightmare) Удаленное выполнение кода 8,8 Диспетчер печати Windows
CVE-2021-34473 (ProxyShell) Удаленное выполнение кода 9,8 Сервер Microsoft Exchange
CVE-2021-34523 (ProxyShell) Повышение привилегий 9,8 Сервер Microsoft Exchange
CVE-2021-31207 (ProxyShell) Обход аутентификации 7,2 Сервер Microsoft Exchange
CVE-2021-40444 Удаленное выполнение кода 7,8 Модуль MSHTML в Internet Explorer
CVE-2021-21972 (обнаружена экспертом Positive Technologies Михаилом Ключниковым) Удаленное выполнение кода 9,8 VMware

На наш взгляд, тенденция, связанная с ростом количества атак с использованием известных уязвимостей, сохранится и в 2022 году. Прежде всего из-за того, что во многих компаниях процесс управления уязвимостями осуществляется недостаточно эффективно, компании не успевают за короткий срок установить обновления безопасности. Злоумышленники действуют очень быстро, особенно когда появляется общедоступный эксплойт. По нашим данным, на разработку эксплойта в среднем уходит 24 часа. К примеру, для уязвимости в библиотеке Log4j в течение нескольких дней появилось более 60 публичных эксплойтов.

Мы настоятельно рекомендуем обратить внимание на то, как организован процесс управления уязвимостями в компании. Основная проблема, с которой сталкиваются сотрудники подразделений ИБ — приоритизация уязвимостей для устранения. В конце 2021 года мы опубликовали свои рекомендации по решению этой проблемы.

Прицел на Linux

Во II квартале 2021 года мы отметили, что тренд на ориентацию вредоносного ПО на Linux окончательно укрепился. Компания Trend Micro выпустила отчет об атаках на эту ОС за первое полугодие 2021 года, в котором сообщалось о более 13 млн зафиксированных попыток атак с использованием вредоносов. За весь 2021 год, по данным компании CrowdStrike, прирост ВПО, ориентированного на Linux, составил 35%.

Такой интерес злоумышленников к Linux был ожидаем, так как это широко распространенная ОС: по данным поисковой системы Censys, в интернете доступно около 14 млн устройств на платформе Linux. При этом вопросам, связанным с обеспечением ее безопасности, уделялось намного меньше внимания, нежели Windows.

В основном мы наблюдали появление Linux-версий шифровальщиков, банковских троянов, майнеров и вредоносного ПО для удаленного управления. Схожая статистика представлена и в отчете компании Trend Micro.

Вот наиболее интересные примеры того, как злоумышленники атаковали устройства на платформе Linux:

  • собирали устройства с этой ОС в ботнеты для майнинга криптовалюты, распространяя вредоносы DreamBus и HolesWarm, и использовали ресурсы компаний, зараженных FreakOut, Gafgyt, Mirai, для проведения последующих DDoS-атак на другие организации;
  • атаковали суперкомпьютеры, заражая их трояном Kobalos и похищая учетные данные для подключения по протоколу SSH;
  • распространяли программы-вымогатели, например Pysa и TellYouThePass;
  • похищали деньги с помощью банковского трояна CronRAT и вредоносного ПО для удаленного управления linux_avp;
  • впервые использовали для доставки вредоноса инструменты IaC («инфраструктуры как кода»), например Ansible, Salt Stack и Chef;
  • разрабатывали вредоносные библиотеки и распространяли их среди разработчиков ПО, имитируя, например, популярные NPM-пакеты Browserify и UA-Parser-JS.

Отхватить свой лакомый кусочек на базе Linux хотели и APT-группировки, такие как TeamTNT (в том числе в рамках кампании Chimaera) и Winnti. Ознакомиться с другими примерами вредоносов можно в наших аналитиках за II, III и IV квартал 2021 года.

Linux с каждым годом становится все более популярной и востребованной системой, что подтверждают и результаты ежегодного исследования РУССОФТ, поэтому, на наш взгляд, злоумышленники будут продолжать вкладывать ресурсы в разработку вредоносного ПО, ориентированного на Linux-системы. Если в вашей инфраструктуре задействована эта ОС, обязательно проводите сканирования на наличие вредоносной активности, проверяйте файлы перед их непосредственным запуском в системе в песочнице, своевременно устанавливайте обновления безопасности.

Среды виртуализации и оркестраторы в опасности

Одним из трендов этого года стали атаки на среды виртуализации и платформы для управления кластерами контейнеров. Разработчики вредоносов активно адаптируют свои продукты для атак на виртуальную инфраструктуру. Особый интерес к средам виртуализации проявили операторы программ-вымогателей. Группировки, распространяющие шифровальщики, активно использовали уязвимости. Например, RansomExx, Darkside и Babuk Locker активно использовали уязвимости, которые позволяют отправлять вредоносные запросы SLP на устройства VMware ESXi и таким образом получать над ними контроль.

Если в вашей инфраструктуре есть продукт VMware ESXi, мы рекомендуем установить обновления безопасности для указанных уязвимостей или вовсе отключить поддержку SLP для предотвращения атак (если поддержка протокола не требуется).

Еще одно направление, которое укрепилось в 2021 году, — использование среды виртуализации для того, чтобы избежать обнаружения средствами защиты информации. Такой способ очень действенный, потому что виртуальная машина может иметь доступ к файлам и каталогам компьютера через общие папки, что позволит шифровальщику, размещенному на виртуальной машине, шифровать файлы на самом компьютере. Этим способом пользовались, например, группировки Ragnar Locker и Conti.

Для защиты от подобных атак мы советуем контролировать списки ПО, которое развернуто на виртуальных машинах. Для этого можно использовать специальные инструменты для инвентаризации. Также стоит ограничить возможность создания новых неавторизованных виртуальных машин.

На протяжении всего 2021 года мы отмечали интерес разработчиков вредоносов к инструменту для оркестровки Kubernetes. На эту среду ориентирован и троян Hildegard, и бэкдор Siloscape, и ботнет Kaiten, и майнер XMRig Monero. Облачные хранилища также стали одной из излюбленных целей для атак, в ИТ-среде даже появился новый термин — ransomcloud — собирательное название шифровальщиков, ориентированных на облачные хранилища.

Взлет криптовалюты привлек преступников

Криптовалюта вновь на пике популярности. Злоумышленники, пристально следящие за тенденциями, также обратили на нее особое внимание. По нашим данным, количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. По данным аналитиков компании Chainalysis, в 2021 году преступники в общей сложности похитили 14 млрд долл. США.

Пятерка крупнейших по объему украденных средств атак на криптовалютные биржи:

  1. PolyNetwork — украдено около 600 млн долл. США. Несмотря на то, что злоумышленники вернули 260 млн долл., эта атака остается одной из крупнейших краж криптовалюты в истории.
  2. Cream Finance — украдено 130 млн долл. США. Были атакованы трижды за 2021 год.
  3. Badger — украдено 120 млн долл. США.
  4. Liquid — украдено 94 млн долл. США.
  5. EasyFi — украден 81 млн долл. США.

В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий популярность, — эксплуатация веб-уязвимостей на сайтах криптоплатформ.

Количество атак, связанных с кражей криптовалюты как у частных лиц, так и у криптовалютных бирж, будет продолжать расти и в 2022 году. Это связано с тем, что все затраты и сложности проведения атаки могут сполна окупиться при первой успешной попытке взлома. Основная причина успешных атак и краж денег — уязвимости в протоколах и в платформах. Поэтому мы рекомендуем принять превентивные меры, направленные на обнаружение уязвимостей. Например, внедрить программу bug bounty. Частным лицам мы советуем проявлять осторожность: не вводите данные для доступа к вашему криптокошельку на сторонних ресурсах, а информацию обо всех выгодных предложениях по хранению криптовалюты перепроверяйте в интернете. Используйте сложные пароли для доступа к кошельку. Для того чтобы облегчить этот процесс, можно воспользоваться менеджером паролей. В нем же можно установить срок его действия и получать напоминания о необходимости его смены.

Мы также не исключаем увеличения количества атак, связанных с блокчейн-технологиями, таких как взлом смарт-контрактов и мошенничество с NFT.

Рост числа атак на частных лиц: чего ожидать от 2022 года

Доля атак на частных лиц составляет 14% от числа всех атак, зафиксированных нами за год.

Рисунок 13. Количество атак на частных лиц в 2020 и 2021 годах

В таких атаках злоумышленники в основном преследуют мотив получения данных (доля в 2021 году — 77%) и финансовую выгоду (27%). Почти половину (46%) украденной информации составили учетные данные. Пятая часть от общего объема украденной информации — персональные данные.

Рисунок 14. Типы украденных данных (в атаках на частных лиц)

Компьютеры и сетевое оборудование частных лиц были объектами атак в 37% случаев, а в каждой четвертой атаке злоумышленники были нацелены на мобильные устройства.

Рисунок 15. Объекты атак на частных лиц (доля атак)

В 88% атак киберпреступники использовали методы социальной инженерии. При применении социальной инженерии злоумышленники стараются эксплуатировать актуальные темы и социально значимые события. Популярными темами фишинга в 2021 году были пандемия COVID-19, премьеры фильмов и сериалов, инвестиции, корпоративные рассылки.

Рисунок 16. Методы атак на частных лиц

Особой популярностью у злоумышленников в 2021 году пользовалась тема инвестирования. Такой интерес мы связываем с притоком непрофессиональных инвесторов. Например, только за прошедший год к торгам на Московской бирже присоединились более 6 млн человек. По данным Банка России, в III квартале 2021 года доля атак с использованием методов социальной инженерии на клиентов финансовых организаций выросла на 163,5% в сравнении с показателями III квартала 2020 года. Уже в начале 2022 года российские граждане столкнулись с фишинговыми атаками, в которых злоумышленники обещают помочь сохранить денежные накопления в случае отключения России от системы международных переводов SWIFT или предлагают заработать на арбитражной торговле, предлагая начинающим инвесторам приобретать стремительно дорожающие активы.

Другой популярный метод атак — заражение устройств частных лиц вредоносным ПО. Среди основных типов вредоносного ПО, которые преступники чаще всего использовали в атаках на частных лиц в 2021 году, — вредоносы для удаленного управления, шпионское ПО и банковские трояны. Доля ВПО для удаленного управления за год выросла с 16% до 34%. Банковские трояны также стали чаще встречаться в атаках на частных лиц: их доля выросла на 10 п. п. и составила 32%. Один из экземпляров этого типа ВПО — Anubis. Злоумышленники, которые распространяли его среди обладателей мобильных устройств на платформе Android, были нацелены на сбор учетных данных для 394 банковских приложений и криптовалютных кошельков.

Доля атак с применением программ-шпионов в 2021 году уменьшилась на 18 п. п. и составила 32%. Заметно выросла доля атак с использованием загрузчиков, которые позволяют устанавливать дополнительное вредоносное ПО на устройства жертвы: их доля составила 21%.

Рисунок 17. Типы вредоносного ПО в атаках на частных лиц (доля атак с использованием вредоносного ПО за 2021 год)

Для доставки вредоносов преступники задействовали сайты (35%), направляли вложения по электронной почте (29%) и размещали вредоносы в официальных магазинах приложений (12%).

Рисунок 18. Способы распространения ВПО в атаках на частных лиц

На наш взгляд, в 2022 году методы атак останутся примерно в том же соотношении, то есть большая часть атак будет связана с применением методов социальной инженерии. Предполагаемые темы для социальной инженерии в основном будут связаны с социально значимыми событиями. Для защиты от атак с использованием социальной инженерии мы советуем соблюдать основные правила информационной безопасности:

  • не переходите по подозрительным ссылкам и не вводите учетные данные на ресурсах, не убедившись в их легитимности;
  • не запускайте вложения, если они получены от неизвестного вам отправителя;
  • устанавливайте приложения только из официальных магазинов и обращайте внимание на то, какие разрешения запрашивает приложение (например, приложение для обработки фотографий не должно запрашивать доступ к контактам);
  • используйте сложные пароли, уникальные для каждого ресурса, и храните их в менеджере паролей;
  • будьте бдительными и перепроверяйте информацию из писем, рассылок и новостных сообществ на сторонних ресурсах в интернете.

Об исследовании

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.