Компания ESET выпустила отчет об угрозах за 4 квартал 2020 года, в котором обобщила основные статистические данные, полученные от своих систем обнаружения. Также там говорится о тенденциях и прогнозах относительно кибербезопасности в целом.

Как отмечается, пандемия коронавируса продолжала влиять на сферу киберпреступности. Из-за перехода многих сотрудников на удалённую работу популярным методом атаки стал захват RDP или иные способы перехвата управления и получения доступа. Так, за период с 1 по 4 квартал телеметрия ESET зафиксировала увеличение попыток атак на RDP на 768%. Хотя к концу прошлого года эта динамика замедлилась.

Ещё одна тенденция — это рост числа почтового спама на тему COVID-19 и активизация различных ботнетов. При этом компания уточнила, что принимала участие в скоординированной атаке на ботнеты, в частности, на TrickBot. Это позволило отключить 94 % серверов TrickBot за одну неделю, после чего их активность резко упала.

В отчете об угрозах также рассматриваются наиболее важные выводы и достижения исследователей ESET. В их числе есть данные о нескольких хакерских группах. Подробности можно узнать в этом документе.

Американская компания Flashpoint, специализирующаяся на вопросах информационной безопасности, опубликовала обзор цен в магазинах даркнета (DWM) на услуги киберпрестников. Как сообщают исследователи, в результате пандемии COVID-19 и связанных с ней глобальных тенденций, спрос на вредоносные и незаконные товары, услуги и данные на рынках даркнета достиг нового пика.

Также ими было отмечено появление впечатляющих инноваций в экосистеме киберпреступности. Целевые программы-вымогатели и расширенная услуга подмены SIM-карты — это лишь два примера новых продуктов, которые теперь входят в арсенал злоумышленников и предлагаются для продажи в DWM.

В своём отчёте Flashpoint разбила ценовой анализ на следующие семь категорий:

1. Удостоверения личности, паспорта и водительские права государственного образца.
2. Услуги DDoS-for-Hire.
3. Наборы эксплойтов: фишинг, программы-вымогатели и т. д.
4. Доступ к серверу RDP.
5. Данные платёжных карт.
6. Банковские данные.
7. Fullz (т. е. комплексные пакеты).

Удостоверения личности государственного образца обычно доступны для покупки в сообществах киберпреступников в трёх форматах. Flashpoint упорядочила типы поддельных удостоверений личности в порядке от наименее к наиболее дорогим:

• Отсканированные копии, которые покупатели получают как документы Photoshop в цифровом формате (PSD).
• Пустые шаблоны, позволяющие покупателям вводить собственную информацию.
• Физические паспорта с указанием информации о владельце, отправленные покупателям.

Цены на отсканированные копии практически не изменились по сравнению с прошлым годом и по-прежнему составляют от $10–$20 до $50. Цена поддельного удостоверения личности, паспорта и водительских права, выданных государством, в 2020 году равна:

Цены на DDoS-атаки, как отмечено в исследовании, растут с 2017 года. Если в 2017 году диапазон предлагаемых стандартных услуг DDoS-наёмников редко превышал $27, то сейчас прейскурант DDoS-сервисов обычно находятся в диапазоне от $20 до $100 в день в зависимости от требований к пропускной способности и продолжительности атаки. Все более популярными становятся услуги DDoS-наёмников с почасовой оплатой. 10-минутная DDoS-атака (60 Гбит/с) обойдётся в $45, 4-часовая DDoS-атака (15 Гбит/с) в $55, а полностью управляемая DDoS-атака — уже в $165.

Такое повышение цен, вероятно, связано с несколькими факторами. В частности, отключение крупных веб-сайтов должно производиться по индивидуальному заказу из-за улучшений в защите от DDoS-атак и широкого использования сетей распространения контента (CDN), которые не под силу всем, кроме самых продвинутых киберпреступников. Впрочем, бывают и исключения.

Комплекты эксплойтов — автоматизированных инструментов атаки, которые сначала взламывают веб-сайты, а затем используют уязвимые браузеры посетителей сайта для распространения вредоносного ПО или выполнения других атак — стоят от $9.

Цены на похищенные данные платёжных карт сильно различаются и зависят от ряда факторов. Так называемые дампы платёжных карт (совокупность информации, которая записана на магнитной полосе) стоят дороже, поскольку содержат больше информации (с двух полос) и могут использоваться для более широкого круга мошеннических действий. На диаграмме показано, как выросла стоимость похищенных данных карт и дампов в течение 2018–2020 гг.

Доступ к онлайн-счетам в банках — всегда востребованный товар в даркнете, и цены на него соответствующие. Цена в наибольшей степени определяется суммой доступного баланса, а также финансовым учреждением, к которому счёт относится. Информация о банковском счёте, на котором находится сумма $100, обойдётся в $25, если сумма составляет $4000, то цена услуги составит $55. А полный пакет данных Fullz (всё-в-одном), содержащий такую информацию, как имя жертвы, номер социального страхования (SSN), дату рождения, а также данные конкретной учётной записи, будет стоить от $25 до $125 в зависимости от страны.

Наконец, особую важность и популярность приобрёл RDP, проприетарный протокол Microsoft, позволяющий системным администраторам удалённо подключаться к другим машинам и серверам для выполнения обслуживания. С марта 2020 года, то есть с момента начала перехода на «удалёнку», число атак на RDP взлетело вверх. Одновременно активизировался поиск новых уязвимостей в RDP со стороны злоумышленников. Сейчас стоимость RDP-доступа варьируется в среднем от $10 до $575.

В 2020 году «Лаборатория Касперского» зафиксировала значительный рост атак через протокол для организации удалённой работы Remote Desktop Protocol (RDP). По данным компании, в России с января по ноябрь было зафиксировано 174 миллиона таких атак. Это в 3,4 раза больше, чем за аналогичный период 2019 года. В мировом масштабе количество подобного рода атак составило 3,3 млрд и достигало 400 млн в месяц.

Эксперты объясняют такое положение дел массовым переходом сотрудников на удалённый режим работы: число подключений по RDP значительно увеличилось, чем и воспользовались киберпреступные группировки. Как правило, в ходе RDP-атаки злоумышленники пытаются подобрать логин и пароль при помощи автоматизированных средств, а также баз распространённых и скомпрометированных паролей. В случае успеха они получают удалённый доступ к рабочим станциям или серверам, на которые нацелена атака.

«Лаборатория Касперского» не видит предпосылок к тому, чтобы атаки на инфраструктуру, связанную с удалённым доступом (а также на различные сервисы для совместной работы), в ближайшее время прекратились. Для обеспечения защиты корпоративной IT-инфраструктуры и минимизации рисков компания рекомендует использовать сложные для подбора пароли и регулярно их менять, сделать RDP доступным только через корпоративный VPN, по возможности включить двухфакторную аутентификацию, уделять особое внимание тем, кому приходится работать с личных устройств, а также проводить тренинги для сотрудников с целью повышения их цифровой грамотности.

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте securelist.com.

В экосистеме Windows Server широко используется протокол RDP (Remote Desktop Protocol), который, как и следует из названия, позволяет получить удалённый доступ к рабочему столу системы.

Оригинальное программное обеспечение RDP проприетарное, но существует и открытая версия FreeRDP, которая недавно обновилась до версии 2.1.

FreeRDP позволяет пользоваться Windows из среды Linux

Разработка открытой версии RDP заняла достаточно много времени: первые релиз-кандидаты FreeRDP 2.0 появились ещё три года назад, и лишь 9 апреля 2020 года свет увидела финальная версия. Она привнесла поддержку протокола Microsoft Remote Assistant v2 и позволила пользоваться всеми преимуществами RDP в среде Linux. Однако столь сложное программное обеспечение всегда содержит ошибки и уже 8 мая была опубликована версия FreeRDP 2.1, содержащая ряд исправлений.

...и рабочим столом Linux из-под Windows

В новой версии дополнений практически нет, она целиком сконцентрирована вокруг исправлений различных недочётов и дыр в безопасности. Также исправлены проблемы с передачей звука, улучшена работа с устройствами аутентификации на базе SmartCard и с сертификатами на стороне сервера. Усовершенствованы механизмы проброса USB-устройств из командной строки.

Полный список исправлений содержится на сайте проекта, там же имеются ссылки на GitHub-репозиторий, позволяющие загрузить новую версию. В силу исправлений ряда проблем с безопасностью разработчики рекомендуют обновиться с версии 2.0 на 2.1 как можно скорее. Полные tgz-архивы исходников всех версий FreeRDP можно найти по этой ссылке.

Недавно обнаруженный вредоносный код, эксплуатирующий критическую уязвимость в Microsoft RDP (Remote Desktop Protocol), похоже, является утечкой из Microsoft или одного из его партнеров. В этом уверен исследователь, который первоначально открыл уязвимость. Луиджи Ауриемма (Luigi Auriemma), итальянский эксперт по IT-безопасности, сообщивший об уязвимости в Microsoft, изучил вредоносный код и заявил, что его части идентичны образцам, который он послал в Microsoft для анализа - они содержат код, который он сам написал для доказательства уязвимости. Дополнительная информация, которую он получил, делает вероятной утечку кода из Microsoft Active Protection Program (MAPP). "Если инициатором утечки является сотрудник Microsoft, то это плохо для него, - написал в своем блоге г-н Ауриемма. - Но если таковым является один из партнеров MAPP, то это провал системы в целом. Чего еще можно ждать, если вы получаете такое от ваших проверенных партнеров?"

Система MAPP была создана Microsoft для обмена информацией с особо доверенными партнерами в индустрии программного обеспечения, прежде всего в области безопасности. Это одна из ряда инициатив корпорации, направленных на улучшение защиты от атак, но недавняя утечка может свидетельствовать и о противоположном эффекте. "Microsoft активно расследует детали обнаружения уязвимости MAPP и примет необходимые меры для защиты клиентов, - заявил Янсун Ви (Yunsun Wee), директор Microsoft Trustworthy Computing Group. - Учитывая, что код, доказывающий возможность эксплуатации уязвимости был опубликован в открытом доступе, мы рекомендуем пользователям установить обновление для системы безопасности как можно скорее". Г-н Ви подтвердил, что вредоносный код совпадает с кодом, представленным Луиджи и сказал, что Microsoft предпринимает все возможное, чтобы "гарантировать, что конфиденциальная информация, которой мы обмениваемся защищена в соответствии с нашими контрактами".

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Kaspersky Endpoint Security 8 for Windows и Security Center 9: обзор новшеств;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• theregister.co.uk