Активность программ-вымогателей продолжает расти во всем мире, несмотря на усилия компаний по повышению своей кибербезопасности. В то время как некоторые отрасли удвоили или утроили свою защиту, другие по-прежнему уязвимы и становятся мишенью для киберпреступников. Согласно отчету The Threat Report: Fall 2022 , подготовленного Центром перспективных исследований компании Trellix, в третьем квартале 2022 года активность программ-вымогателей в транспортной и судоходной отрасли удвоилась. В отчете приводятся доказательства вредоносной активности, связанной с программами – вымогателями и APT-атаками.
Тенденции кибербезопасности в 3 квартале
Активность программ-вымогателей в США лидирует: только в США активность программ-вымогателей в сфере транспорта и перевозок возросла на 100% по сравнению с предыдущим кварталом. В мировом масштабе транспорт оказался вторым по активности сектором (после телекоммуникаций). APT также были обнаружены в сфере транспорта чаще, чем в любом другом секторе.
Наибольшее количество обнаружений зафиксировано в Германии: в третьем квартале в Германии обнаружено не только больше всего угроз, связанных с APT субъектами (29% наблюдаемой активности), но и зафиксировано больше всего обнаружений программ-вымогателей. По данным отчета, количество обнаруженных ВПО выросло на 32% и составило 27% от общемировой активности.
Масштабирование новых субъектов угроз: как показал отчет, наибольшее количество обнаруженных угроз зафиксировано за группировкой Mustang Panda, за ней следуют APT29 и APT36.
Программы-вымогатели эволюционировали: на долю Phobos пришлось 10% от общего числа обнаруженных ВПО, и он стал вторым по распространенности вымогательским ПО, обнаруженным в США. LockBit продолжает оставаться наиболее часто обнаруживаемой программой-вымогателем во всем мире, на нее приходится 22% обнаружений.
Старые уязвимости продолжают преобладать: Уязвимости многолетней давности продолжают оставаться успешными векторами атак. По наблюдениям Trellix, уязвимости Microsoft Equation Editor, включающие CVE-2017-11882, CVE-2018-0798 и CVE-2018-0802, оказались наиболее эксплуатируемыми среди вредоносных писем, полученных клиентами в третьем квартале.
Вредоносное использование Cobalt Strike: по данным отчета, в третьем квартале Cobalt Strike использовался в 33% случаев глобальной активности вымогательского ПО и в 18% случаев обнаружения APT. Cobalt Strike, легитимный сторонний инструмент, созданный для имитации сценариев атак с целью улучшения работы системы безопасности, является излюбленным инструментом злоумышленников, которые используют его возможности в злонамеренных целях.
Источник: SecurityLab