CERT-GIB: Рунет стал чище | F.A.C.C.T.

CERT-GIB: Рунет стал чище

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня сообщила о том, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов. Об этом сообщил Центр реагирования на инциденты кибербезопасности CERT-GIB. При росте на 46% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

Рунет больше не «рыбное» место. Почти.

Интересно, что несмотря на увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом.

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 77% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Однако, только 10% из этого количества пришлось на домены в российской зоне 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

ВПО с доставкой

По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 году. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.

По данным CERT-GIB, одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Для сравнения в 2017 году лишь один публичный почтовый сервис входил в эту пятерку, остальные четыре домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь «переехать» на другой.
Как и в 2017, в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно на 10%.

Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

Вызывает удивление, что в 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.

Редкие виды

В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых заставить жертву открыть архив с вредоносным ПО.

Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже «разрешил» доставку письма.

«Все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами, комментирует Ярослав Каргалев, заместитель руководителя CERT-GIB, Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение, ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус».

HTTPS: доступный и незащищенный

По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».

Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности. Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно.

Ярослав Каргалев
Ярослав Каргалев

заместитель руководителя CERT Group-IB

Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Intelligence и других.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах .RU, .РФ и ещё более чем в 2500 доменных зонах.

Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.