Колоссальный рост
Эксперты фиксируют увеличение числа атак на ИТ-инфраструктуру компаний. Основные векторы атак киберпреступников часто связаны с использованием уязвимостей нулевого дня и попытками получить права администратора доменов.
Права администратора домена дают возможность подключиться к любому компьютеру компании, установить софт, ограничить доступ, завести учетную запись или вовсе закрыть ее сайт.
В данный момент человек все равно остается самым слабым звеном в защите. Чтобы получить доступ к правам доменного администратора, мошенник взламывает учетную запись рядового сотрудника компании, используя различные методы. Например, работник получает вредоносный файл или ссылку на него на электронную почту или мессенджер. После того, как сотрудник загрузит файл, злоумышленник получает доступ к устройству жертвы и начинает изучать внутреннюю инфраструктуру компании. Перехватывая траффик, а также анализируя учетные записи, хранимые на взломанных машинах, злоумышленник постепенно получает доступ к большему числу устройств, как бы увеличивая свое влияние внутри сети. И со временем он добирается до компьютера с учетной записью доменного администратора.
С получением прав администратора домена появляется возможность подключаться к любому устройству в компании, устанавливать различное программное обеспечение, ограничивать доступ, заводить или закрывать учетные записи.
Основные причины успешности данного рода атак: недостаточный мониторинг ИТ-инфраструктуры компании, отсутствие в системе двухфакторной аутентификации, создание простых паролей на сервисах и отсутствия контроля за обновлениями систем. Но главная причина — недостаточное финансирование информационной безопасности, экономия бюджета на квалифицированных специалистах или выбор некомпетентных подрядчиков.
В этом году было экспертами обнаружено порядка 70 случаев использования уязвимостей нулевого дня — почти вдвое больше, чем в 2020 году.
Что же такое атаки с использованием 0day-уязвимостей?
0-day (от англ. zero day) — термин, обозначающий неустраненные уязвимости, а также вредоносные ПО, против которых еще не разработаны защитные механизмы.
Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО с исправлением ошибки. Таким образом, потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё).
На данный момент многие кибермошенники фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении. Их выбор связан с высоким распространением уязвимого ПО и некоторым временным промежутком между обнаружением уязвимости в ПО компанией разработчиком и его устранением.
Увеличение числа атак подобным способом можно связать с распространением хакерских инструментов. Кроме того, по словам экспертов, приобрести сведения о уязвимостях нулевого дня на растущем рынке эксплоитов стало проще, чем когда-либо. То, что ранее было чрезмерно дорогим, теперь более доступно.
Однако в современных реалиях улучшение и усложнение систем защиты привело к тому, что хакерам приходится выполнять больше работы по взлому, чем десять лет назад. Сталкиваясь с улучшением защиты, хакерам часто приходится связывать несколько эксплоитов вместо одного. Эти цепочки эксплойтов требуют большего количества уязвимостей нулевого дня.
Поскольку усложнился процесс взлома, а эксплойтов становится меньше, злоумышленникам приходиться больше рисковать, повышая соответственно цены на свои «услуги» или увеличивая стоимость «готового продукта».