Microsoft представила итоги очередного исследования Microsoft Security Intelligence Report. С января по март 2019 года было проверено более 3 млрд учетных данных, полученных из различных источников, включая общедоступные базы данных. Целью исследования стал поиск скомпрометированных учетных данных в системах Microsoft. Результаты исследования показали, что более чем в 44 млн случаев пользователи устанавливали один и тот же пароль для Azure AD и служб Microsoft.
Если в руки злоумышленников попадает одна подобная пара логин-пароль, то в 30% случаев подобрать частично измененный пароль (например, с добавлением порядкового номера) к другим учетным записям можно не более чем с десяти попыток, что может быть использовано для атак на облачные сервисы, DDoS-атак, рассылки фишинговых писем или майнинга криптовалют.
Согласно аналогичному исследованию 2018 года, проведенному Политехническим университетом Виргинии, из 30 млн пользователей 52% пренебрегали правилами безопасности и использовали один и тот же или частично измененный пароль. В 2019 году число подобных пользователей снизилось, но цифры все еще остаются внушительными.
«Обнаружив совпадения в учетных данных, мы принудительно производим сброс пароля и при следующем входе просим пользователя задать новый. Никаких дополнительных действий со стороны пользователя не требуется. В случае с корпоративными доступами Microsoft уведомляет администратора о рисках и возможных последствиях таких действий. Исследование Microsoft Security Intelligence Report также показало, что 99,9% атак на аккаунты были предотвращены путем включения многофакторной аутентификации, которая является важным инструментом безопасности», — отмечает Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы.
Виды атак, наиболее часто используемых злоумышленниками в 2019 году:
Атаки на облака
Постоянной целью для кибератак становятся облачные провайдеры, и платформа Microsoft Azure не стала исключением. Злоумышленники создают виртуальные машины, которые затем используются для рассылки спама, фишинговых и DDoS-атак.
DDoS-атаки остаются актуальными
Помимо общей угрозы функциональности объекта такой атаки, DDoS часто служит «дымовой завесой» для более сложных атак. Подходы к организации DDoS-атак продолжают усложняться, при этом затраты и сложность запуска таких атак не возрастают. Это увеличивает частоту и легкость, с которой преступники могут нанести ущерб бизнесу и пользователям. Средняя мощность TCP DDoS-атак, обнаруженных и нивелированных Azure DDoS Protection за 2019 год (апрель-октябрь) составляла 120,51 Гб/сек (самая крупная из них – 363,01 Гб/сек), а средняя мощность DDoS-атак на основе UDP — 16,44 Гб/сек. (самая крупная – 89,12 Гб/сек).
Drive by Download – скрытая загрузка
Drive by Download (DBD) предполагает непреднамеренную загрузку вредоносного кода на устройство пользователя при посещении им зараженного сайта или при клике на баннер, ведущий на такой сайт. Более продвинутые DBD-кампании даже могут устанавливать программное обеспечение для майнинга криптовалют на устройстве жертвы. По итогам анализа страниц, индексируемых Bing, максимальный среднемесячный объем вредоносных страниц зафиксирован во Французской Полинезии (3,15 страниц на тысячу страниц). В России этот показатель составляет 0,59 страниц в 2019 году, что в три раза выше показателя 2018 года (0,18 страниц).
Майнинг криптовалют
Опасность таких атак – не только в снижении производительности системы, но и в том, что злоумышленник может в любой момент использовать другой, более опасный для жертвы, сценарий. Всего в мире в 2018-2019 годах с незаконной установкой ПО для майнинга столкнулись 0,11% компьютеров во всем мире. В России эти цифры составили 0,88% в 2018 году и 0,17% в 2019 году, что свидетельствует об успешной борьбе с недобросовестными майнерами, но не о победе над ними.
Фишинговые атаки
Несмотря на повышенное внимание к этому виду атак, они по-прежнему очень эффективны и приносят огромные убытки компаниям. Сейчас злоумышленники чаще всего используют подмену доменных имен, чтобы выдать свои сообщения за электронные письма от известных брендов или коллег жертвы, а также броские темы, чтобы заставить пользователя открыть письмо. Максимальный всплеск фишинговой активности в мире в 2019 году наблюдался в январе, когда доля зараженных писем составила 0,63% от общего объема писем, проанализированных Microsoft по всему миру.
Компьютерная гигиена
Часто причиной заражения устройства становятся не только несоблюдение базовых правил кибергигиены и недостаточная осведомленность пользователей, но и использование нелицензионного программного обеспечения. Стремление снизить вероятность загрузки потенциально опасного ПО вызвало в 2019 году рост спроса на операционную систему Windows 10, а также более широкое использование Windows Defender. Тем не менее, злоумышленники тоже не стоят на месте. В мире в 2019 году в среднем 3,67% компьютеров в месяц сталкивается с вредоносным ПО. Год назад эта цифра составляла 6,37%. В России доля влияния вредоносного ПО за последний год существенно снизилась с 12,24% в 2018 году до 6,77% в 2019 году.
Атаки вирусов-вымогателей
С таким видом атак мир сталкивается все реже, и тем не менее они продолжают представлять угрозу в некоторых регионах, в первую очередь из-за низкой культуры кибербезопасности. В 2019 году в среднем в месяц такая проблема возникала на 0,03% компьютеров. Год назад цифра составила 0,08%. В России вирусы-вымогатели также снизили свою активность с 0,13% в 2018 году до 0,07% в 2019 году. Тем не менее, степень их влияния все еще превышает среднемировой показатель.