ВЕСТИ

Прямой Эфир

    Прогнозы

      Количество вредоносных сайтов в рунете в 2018 году снизилось на 40%

      Москва, 5 июля - "Вести.Экономика". Российская доменная зона по итогам прошлого года показала рекордное снижение количества токсичных сайтов (содержащих фишинг или вредоносное ПО) - до 1231 с 2058 годом ранее, говорится в сообщении Group-IB.

      При росте на 30% в 2018 г. числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю рунета пришлось менее 20% таких сайтов, тогда как в 2017 г. доля "токсичных" ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

      Интересно, что, несмотря на 30%-е увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов уменьшилось на 40% по сравнению с 2017 г. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 г. Также злоумышленники стали чаще выбирать новые домены верхнего уровня New gTLD (.online; .website; .space и т. д.).

      Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента среднее время от момента реагирования до нейтрализации вредоносного контента сократилось на 20% в 2018 г. по сравнению с прошлым годом.

      Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных Group-IB в 2018 г., увеличилось на 44% по сравнению с 2017 г. Каждый квартал в среднем рост составлял 15%.

      Однако только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 г. на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне, в 2018 г. также сократилось на 44% по сравнению с 2017 г. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 г.: 1736 веб-ресурсов в 2017 г. и 1723 сайта в 2018 г. соответственно.

      По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 г. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 г. оставалось на уровне 12 к 1. При этом во второй половине 2018 г. доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.

      Одной из ключевых тенденцией 2018 г. стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения, в 2017 г. лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса.

      Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой - такой способ рассылки значительно дешевле: нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности без потерь переехать на другой.

      Как и в 2017-м, в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 г. увеличилось незначительно – на 10%.

      Любимым форматом упаковки ВПО в 2018 г. у злоумышленников стали архивы. На протяжении всего 2018 г. в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

      Вызывает удивление, что в 2018 г. по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.

      В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 г. на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 г. их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии используют выдачу пароля на этапе входа в коммуникацию с пользователем для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО.

      Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 г. CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже "разрешил" доставку письма.

      "Все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами, — комментирует Ярослав Каргалев, заместитель руководителя CERT-GIB. — Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус".

      Соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS), к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в IV квартале 2018 г. почти половина всех фишинговых ресурсов использует именно "безопасное соединение".

      "Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности, — говорит Ярослав Каргалев, — Получить HTTPS сертификат для злоумышленников стало так же просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно".

      Новости партнеров

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить