Аналитики Positive Technologies провели исследование на основе результатов пилотных проектов по внедрению в российских компаниях системы поведенческого анализа сетевого трафика, которая позволяет выявлять сетевые атаки и нежелательную активность в трафике. Согласно результатам анализа, в 100 % организаций обнаружены нарушения регламентов информационной безопасности, которые могли быть использованы злоумышленниками.
Согласно сообщению, размещённому на сайте Positive Technologies, во всех шестидесяти исследованных компаниях были выявлены нарушения регламентов информационной безопасности и обнаружены такие инциденты, как использование незащищенных протоколов (97 %) и программного обеспечения для удаленного доступа (72 %). В некоторых организациях было обнаружено использование сразу нескольких незащищенных протоколов, что могло бы превести к перехвату данных злоумышленниками.
«Используя возможности такого ПО, злоумышленники могут незаметно подключаться к узлам инфраструктуры и совершать действия, которые не будут расценены средствами защиты как несанкционированные, поскольку все действия выполняются от имени легитимного пользователя по защищенному каналу связи», – говорится в сообщении.
В 70 % компаний, была обнаружена активность вредоносного программного ПО. Чаще всего находились следы функционирования майнеров, вредоносного ПО для удаленного управления и шифровальщиков. Всё еще опасен шифровальщик WannaCry, активность которого была замечена в каждой пятой компании. Среди шпионского ПО наиболее популярны Agent Tesla и Formbook.
В двух компаниях были обнаружены сразу несколько образцов вредоносного программного обеспечения для удаленного управления и шпионажа, что может означать компрометацию, либо загрузку дополнительных модулей. Так, в одной финансовой организации были выявлены сразу четыре программы для шпионажа и кражи учетных данных. Сообщается также, что подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, зафиксирована в 93 % исследованных организаций.
«Сокрытие сетевого трафика — одна из основных техник, которые были выявлены при анализе трафика: в 65 % случаев было обнаружено туннелирование, а в 53 % — прокси», — цитирует пресс-служба аналитика исследовательской группы Positive Technologies Федора Чунижекова. По его словам, для незаметного перемещения по сети и коммуникации с управляющими серверами злоумышленники могут использовать такие подключения к узлам Tor (выявлены в 47 % компаний), VPN (OpenVPN — в 28 % компаний) или нестандартные библиотеки для подключения по протоколу SSH, который часто используется администраторами для удаленного доступа к ресурсам.
Кроме того, в 17 % компаний неоднократно отмечали попытку аутентификаци. Это может свидетельствовать о попытках перемещения по узлам внутри периметра и продвижения по ресурсам инфраструктуры, что может быть опасно для учетных записей пользователей критически важных систем и администраторов домена.
Однако, по мнению экспертов Positive Technologies, несмотря на то, что злоумышленники постоянно совершенствуются и схемы становятся все сложнее – они оставляют в трафике много следов.
Ранее «Телеспутник» сообщал, что одна из крупнейших российских компаний в сфере информационной безопасности Positive Technologies закрыла свои филиалы в Великобритании и Чехии. Сейчас у Positive Technologies остается официальное представительство в Казахстане.
